Disgruntled Conti Ransomware Affiliate Leaks Info on Gang

Em uma reviravolta nos acontecimentos, um afiliado que trabalha para a gangue Conti ransomware vazou informações sobre a metodologia e as operações do grupo criminoso. O afiliado estava aparentemente zangado porque a gangue Conti reduziu seu pagamento.

A gangue de ransomware Conti opera usando um modelo de ransomware como serviço - algo que se tornou quase a norma quando se trata de organizações criminosas maiores que lidam com ransomware. O modelo constitui uma espécie de plano de compartilhamento de receita ilegal, em que os afiliados executam os ataques e, em seguida, dividem o dinheiro do resgate pago com os hackers que instalaram e executaram o ransomware e sua infraestrutura.

Um pesquisador de segurança pegou a postagem feita pelo enfurecido afiliado da gangue Conti em um fórum clandestino. A afiliada divulgou informações significativas sobre as operações da gangue e a maneira como operam. As informações divulgadas na postagem incluem endereços de servidores de comando e controle CobaltStrike usados pela Conti, bem como um arquivo que contém materiais tutoriais que a Conti usa para novas afiliadas e outras ferramentas variadas.

A divisão da receita que ocorre entre o grupo de resgate que opera a infraestrutura e suas afiliadas pode variar, mas a divisão que as afiliadas recebem geralmente fica na casa dos 20 a 30 por cento. Nesse caso, o afiliado furioso recebeu apenas US $ 1.500 e acusou Conti de procurar "otários" para fazer o trabalho sujo por eles sem receber a parte prometida.

Com base nas informações, ferramentas e materiais de treinamento que vazaram, o pesquisador Vitali Kremez tuitou algumas dicas de segurança sobre como proteger as redes do Conti ransomware. Isso incluía sistemas de varredura para "instalações não autorizadas do Atera Agent" e verificação de persistência de Any Desk. Atera foi uma das ferramentas que Conti usa junto com beacons CobaltStrike antes de seguir em frente para implantar a carga útil final do ransomware.

Um outro pesquisador tuitou um conjunto de IPs associados ao Conti a serem bloqueados imediatamente para melhorar a segurança. O lote incluiu o seguinte:

162.244.80.235

85.93.88.165

185.141.63.120

82.118.21.1

Esses são os mesmos endereços que apareceram no vazamento do fórum usados pela gangue Conti.