不満を持ったコンティランサムウェアのアフィリエイトがギャングに関する情報を漏らしている

犬が犬を食べるイベントの順番で、コンティランサムウェアギャングのために働いているアフィリエイトが犯罪グループの方法論と操作に関する情報を漏らしました。コンティギャングが彼の支払いを下回ったので、アフィリエイトは明らかに怒っていました。

Contiランサムウェアギャングは、サービスとしてのランサムウェアモデルを使用して動作します。これは、ランサムウェアを扱う大規模な犯罪組織に関してはほぼ標準になっています。このモデルは、アフィリエイトが攻撃を実行し、ランサムウェアとそのインフラストラクチャをセットアップして実行するハッカーに支払われた身代金を分割する、一種の違法な収益分配計画を構成します。

セキュリティ研究者が、怒り狂ったコンティギャングのアフィリエイトが投稿した投稿を地下フォーラムで見つけました。アフィリエイトは、ギャングの活動とその運営方法に関する重要な情報ダンプを投稿しました。投稿で開示された情報には、Contiが使用するCobaltStrikeコマンドアンドコントロールサーバーのアドレス、およびContiが新しいアフィリエイトやその他のさまざまなツールに使用するチュートリアル資料を含むアーカイブファイルが含まれていました。

インフラストラクチャを運用している身代金グループとそのアフィリエイトの間で発生する収益分配はさまざまですが、アフィリエイトが受け取る分割は通常20〜30パーセントの球場にあります。この場合、怒っているアフィリエイトは$ 1,500しか受け取っておらず、コンティは約束されたカットを受け取らずに彼らのために汚い仕事をする「吸盤」を探していると非難しました。

漏洩した情報、ツール、トレーニング資料に基づいて、研究者のVitali Kremezは、ネットワークをContiランサムウェアから保護する方法に関するセキュリティのヒントをいくつかツイートしました。それらには、「不正なAteraAgentのインストール」のスキャンシステムとAnyDeskの永続性のチェックが含まれていました。 Ateraは、ランサムウェアの最終ペイロードを展開する前に、ContiがCobaltStrikeビーコンと一緒に使用するツールの1つでした。

別の研究者が、セキュリティを向上させるためにすぐにブロックされるように、Contiに関連付けられた一連のIPをツイートしました。バッチには次のものが含まれていました。

162.244.80.235

85.93.88.165

185.141.63.120

82.118.21.1

これらは、コンティギャングが使用したものと同じアドレスで、フォーラムのリークに表示されました。