Недовольные партнерские программы Conti Ransomware утекают информацию о бандах

При повороте событий, связанном с "собачьей собакой", аффилированное лицо, работающее на банду программ-вымогателей Conti, утекло в утечку информации о методологии и деятельности преступной группы. Партнер был явно рассержен тем, что банда Конти урезала его платежи.

Банда программ-вымогателей Conti использует модель «программа-вымогатель как услуга» - что стало почти нормой, когда речь идет о более крупных преступных организациях, занимающихся вымогательством. Эта модель представляет собой своего рода план незаконного распределения доходов, при котором филиалы проводят атаки, а затем распределяют выплаченные выкупные деньги с хакерами, которые устанавливают и запускают программу-вымогатель и ее инфраструктуру.

Исследователь безопасности поймал сообщение разгневанного члена банды Конти на подпольном форуме. Филиал опубликовал значительную информацию о деятельности банды и способах ее работы. Информация, раскрытая в сообщении, включала адреса командных и управляющих серверов CobaltStrike, используемых Conti, а также архивный файл, содержащий учебные материалы, которые Conti использует для новых филиалов, и другие различные инструменты.

Доля доходов, которая имеет место между группой выкупа, управляющей инфраструктурой, и их аффилированными лицами, может варьироваться, но разделение, получаемое аффилированными лицами, обычно находится в диапазоне от 20 до 30 процентов. В этом случае разгневанный партнер получил только 1500 долларов и обвинил Конти в том, что он ищет «лохов», которые делают за них грязную работу, не получив обещанной доли.

На основе просочившейся информации, инструментов и обучающих материалов исследователь Виталий Кремез написал в Твиттере пару советов по защите сетей от программ-вымогателей Conti. К ним относятся системы сканирования на предмет «несанкционированных установок агента Atera» и проверка на постоянство Any Desk. Atera была одним из инструментов, которые Conti использовал вместе с маячками CobaltStrike, прежде чем они перешли к развертыванию последней полезной нагрузки вымогателя.

Отдельный исследователь написал в Твиттере набор IP-адресов, связанных с Conti, которые необходимо немедленно заблокировать для повышения безопасности. В партию вошли:

162.244.80.235

85.93.88.165

185.141.63.120

82.118.21.1

Это те же адреса, которые были обнаружены в утечке на форуме и использовались бандой Конти.