Niezadowolony partner Conti Ransomware ujawnia informacje na temat gangu

W zbiegu wydarzeń, gdy pies zjada psa, partner pracujący dla gangu Conti ransomware ujawnił informacje na temat metodologii i działań grupy przestępczej. Partner był najwyraźniej zły, ponieważ gang Conti podciął jego płatności.

Gang Conti ransomware działa w modelu ransomware jako usługa – co stało się niemal normą, jeśli chodzi o większe organizacje przestępcze zajmujące się oprogramowaniem ransomware. Model stanowi rodzaj nielegalnego planu dzielenia się przychodami, w którym podmioty stowarzyszone przeprowadzają ataki, a następnie dzielą wszelkie pieniądze z okupu zapłacone hakerom, którzy konfigurują i obsługują oprogramowanie ransomware i jego infrastrukturę.

Badacz ds. bezpieczeństwa przechwycił wpis rozgniewanego członka gangu Conti na podziemnym forum. Partner opublikował znaczący zrzut informacji na temat działalności gangu i sposobu, w jaki działa. Informacje ujawnione w poście zawierały adresy serwerów dowodzenia i kontroli CobaltStrike wykorzystywanych przez Conti, a także plik archiwum zawierający materiały szkoleniowe, które Conti wykorzystuje dla nowych partnerów i innych różnorodnych narzędzi.

Udział w przychodach między grupą okupową obsługującą infrastrukturę a jej podmiotami stowarzyszonymi może się różnić, ale podział, jaki otrzymują podmioty stowarzyszone, wynosi zwykle od 20 do 30 procent. W tym przypadku wściekły partner otrzymał tylko 1500 dolarów i oskarżył Conti o szukanie „frajerów”, którzy zrobiliby za nich brudną robotę, nie otrzymując obiecanej kwoty.

Na podstawie informacji, narzędzi i materiałów szkoleniowych, które wyciekły, badacz Vitali Kremez zamieścił na Twitterze kilka wskazówek dotyczących bezpieczeństwa, jak chronić sieci przed oprogramowaniem ransomware Conti. Obejmowały one systemy skanowania w poszukiwaniu „nieautoryzowanych instalacji Atera Agent” i sprawdzanie trwałości Any Desk. Atera była jednym z narzędzi, których Conti używa wraz z sygnałami nawigacyjnymi CobaltStrike, zanim przejdą do wdrożenia ostatecznego ładunku oprogramowania ransomware.

Inny badacz opublikował na Twitterze zestaw adresów IP powiązanych z Conti, które mają zostać natychmiast zablokowane w celu poprawy bezpieczeństwa. Partia zawierała następujące elementy:

162.244.80.235

85,93,88,165

185.141.63.120

82.118.21.1

Są to te same adresy, które pojawiły się w przecieku z forum, które były używane przez gang Conti.