Nepatenkintas „Conti Ransomware“ filialas nutekina informaciją apie grupę

Įvykių eigoje, kai šuo ėda šunį, „Conti“ išpirkos programinės įrangos gaujos filialas paviešino informaciją apie nusikalstamos grupuotės metodiką ir operacijas. Filialas, matyt, buvo piktas, nes Conti gauja sumažino jo mokėjimą.

„Conti“ išpirkos programų gauja veikia naudodama išpirkos programinės įrangos modelį-tai tapo beveik norma, kai kalbama apie didesnes nusikalstamas organizacijas, kurios užsiima išpirkos programine įranga. Šis modelis yra tam tikras neteisėtas pajamų paskirstymo planas, kai filialai vykdo atakas ir tada padalija bet kokius išpirkos pinigus su įsilaužėliais, kurie sukūrė ir valdo išpirkos programinę įrangą bei jos infrastruktūrą.

Saugumo tyrinėtojas pogrindiniame forume užfiksavo supykusios Conti gaujos filialo įrašą. Filialas paskelbė didelę informaciją apie gaujos veiklą ir jos veikimo būdą. Pranešime atskleista informacija apėmė „Conti“ naudojamų „CobaltStrike“ komandų ir valdymo serverių adresus, taip pat archyvo failą, kuriame yra mokomoji medžiaga, kurią „Conti“ naudoja naujiems filialams, ir kiti įvairūs įrankiai.

Pajamų dalis, tenkanti tarp išpirkos grupės, valdančios infrastruktūrą, ir jų filialai gali skirtis, tačiau filialų padalijimas paprastai yra 20–30 proc. Šiuo atveju piktas filialas gavo tik 1500 USD ir apkaltino Conti, kad jis ieško „čiulptukų“, kurie už juos atliktų nešvarų darbą, nesulaukę pažadėto pjūvio.

Remdamasis nutekėjusia informacija, įrankiais ir mokymo medžiaga, tyrėjas Vitali Kremez „Twitter“ paskelbė keletą saugumo patarimų, kaip apsaugoti tinklus nuo „Conti“ išpirkos. Tai apėmė „neteisėto„ Atera Agent “diegimo“ nuskaitymo sistemas ir bet kokio stalo patvarumo tikrinimą. „Atera“ buvo viena iš priemonių, kurią „Conti“ naudojo kartu su „CobaltStrike“ švyturėliais, prieš pradėdami diegti galutinę išpirkos programos naudingąją apkrovą.

Atskiras tyrėjas „Twitter“ paskelbė su „Conti“ susijusių IP rinkinį, kuris turi būti nedelsiant užblokuotas, siekiant pagerinti saugumą. Į partiją buvo įtraukta:

162.244.80.235

85.93.88.165

185.141.63.120

82.118.21.1

Tai tie patys adresai, kurie buvo nurodyti forumo nutekėjime, kaip ir Conti gauja.