Conti denne tids mest aggressive kriminelle hackergruppe

Er man ramt af ransomware fra Conti er mindre tilbøjelige til at hjælpe ofrene med at gendanne krypterede filer og mere tilbøjelige til at lække stjålet data.

Conti har været en af de mest aggressive ransomware operationer i løbet af de sidste to år og fortsætter med at angribe mange store virksomheder samt offentlige myndigheder, hospitaler mf.  Eksperter advarer om, at i modsætning til andre ransomware grupper, der generelt bekymrer sig om deres omdømme, så holder Conti ikke altid sine løfter til ofrene.

Andre succesfulde ransomwaregrupper lægger en indsats i at etablere og opretholde en slags integritet, som en måde at få løsepenge fra ofre og analyser angiver, at andre ransomwaregrupper ønsker at etablere stjernerneomdømme for ”kundeservice” og holde hvad de lover. Kort sagt, at hvis man betaler en løsesum, vil filerne blive dekrypteret og ikke blive vist på en lækage hjemmeside. Med Conti er erfaringen at Conti ikke bekymrer sig om sit omdømme.

Conti dukkede første gang op i slutningen af 2019 og er langsomt vokset til at blive en af de fremherskende ransomware-as-a-service (RaaS) operationer. De menes at have nogle forbindelser til Ryuk ransomware, som blev drevet af en russisk cyberkriminalitet gruppe kendt som Wizard Spider. Den amerikanske Cybersikkerhed og Infrastruktur Security Agency (CISA) og Federal Bureau of Investigation (FBI) sagde i en nylig advarsel, at de observerede brugen af Conti ransomware i over 400 angreb mod amerikanske og internationale organisationer. Ifølge cyberkriminalitet intelligens firma Recorded Future, var Conti ransomware ansvarlig for det næststørste antal ofre i september 2021 efter LockBit.

Conti opererer også lidt anderledes end andre RaaS-grupper. De fleste grupper arbejder med partnere kaldet affiliates til at kompromittere ofre og implementere ransomware program for en procentdel af løsesum betalinger, men Conti menes at betale månedsløn til sine hackere.

Sådan får Conti indledende netværksadgang

Angriberne, der bruger Conti, anvender mange metoder til at få adgang til virksomhedsnetværk, herunder køb af adgang fra andre grupper, der allerede har en sådan adgang – de såkaldte netværksadgangsmæglere. Ligesom Ryuk har Conti operatører brugt TrickBot-malware for adgang, samt andre trojanske heste såsom IcedID. Disse trojanske heste distribueres typisk via spear-phishing e-mails, der indeholder ondsindede links eller Microsoft Word vedhæftede filer.

Stjålne eller svage RDP-legitimationsoplysninger (Remote Desktop Protocol) er også en almindelig metode til at komme ind i netværk til Conti og alle ransomware-grupper. CISA og FBI rådgivere nævner også falsk software fremmes via søgemaskineoptimeringer, malwaredistributionsnet som ZLoader og udnyttelse af sårbarheder i eksterne it-aktiver som andre almindelige metoder conti affiliates at få adgang.

Sådan bevæger Conti sig sideværts

Når hackere er ”inde” i en virksomhed, bruger de en samling af værktøjer til at kortlægge netværket og udvide deres adgang. Efterforskere har set brugen af Cobalt Strike angreb og en penetrationtestværktøj kaldet Router Scan, der kan scanne for og brute-force web administrative legitimationsoplysninger for routere, kameraer og netværksforbundne lagerenheder.

Angriberne lancerer også Kerberos angreb med det formål at opnå administrator hash og gennemføre brute-force angreb. Mange grupper, herunder Conti, bruger almindelige værktøjer som Windows Sysinternal eller Mimikatz til at få bruger-hash-oplysninger og legitimationsoplysninger i almindelig tekst, der muliggør rettighedsforøgelse og lateral bevægelse inden for domænet.

Conti-affiliates er også blevet observeret udnytte velkendte Windows sårbarheder inde i netværk som SMB Server (herunder EternalBlue), PrintNightmare (CVE-2021-34527) i Windows Print spooler service, eller Zerologon (CVE-2020-1472) i Microsoft Active Directory Domain Controller systemer.

Sådan krypterer Conti filer og sletter sikkerhedskopier

Conti-angriberne implementerer ikke ransomware direkte og er i stedet afhængige af mere lette læssere, der kan undgå antivirusregistrering. Gruppen har brugt Cobalt Strike og Meterpreter (Metasploit) implantater, samt en loader kaldet getuid at injicere ransomware direkte i hukommelsen.

Fordi de levere ransomware i hukommelsen og aldrig skriver ransomware binære til den inficerede computers filsystem, så fjerner angriberne en kritisk akilleshæl, der påvirker de fleste andre ransomware familier. Dermed er ingen artefakt af ransomware efterladt for selv den mest flittige malwareanalytiker til at opdage og studere hændelsen.

Et andet interessant aspekt af Conti ransomware er, at det understøtter udførelsesparametre i kommandolinjen, der instruerer den til at kryptere enten den lokale disk, et bestemt netværksshare eller endda en liste over netværksshares defineret i en fil. Den bemærkelsesværdige effekt af denne evne er, at det kan forårsage målrettet skade i et miljø i en metode, der kan frustrere hændelse respons aktiviteter,” researchere fra VMware har analyseret, at et vellykket angreb kan have ødelæggelse, der er begrænset til en server, der ikke har nogen internetkapacitet, men hvor der ikke er tegn på lignende ødelæggelse andre steder i miljøet. Dette har også den virkning at reducere den samlede ”støj” af et ransomwareangreb, hvor hundredvis af systemer straks begynde at vise tegn på infektion. I stedet kan krypteringen ikke engang være mærkbar i dagevis eller uger senere, når dataene er tilgængelige af en bruger.”

Conti bruger AES-256 algoritmen til at kryptere filer med en offentlig nøgle, der er hårdt kodet i ransomware-programmet. Det betyder, at hver binær er specielt udformet til hvert offer for at sikre, at ofrene har et unik nøglepar. Det giver også programmet mulighed for at kryptere filer, selvom det ikke er i stand til at kontakte en kommando-og-kontrol-server.

Conti-angriberne lagde også en stor indsats i at komplicere restaureringsindsatsen. Den malware starter med at deaktivere og slette Windows Volume Shadow kopier, men derefter gennem omkring 160 kommandoer til at deaktivere forskellige Windows-systemtjenester, herunder nogle forbundet med tredjeparts backup-løsninger, herunder Acronis VSS Provider, Enterprise Client Service, SQLsafe Backup Service, SQLsafe Filter Service, Veeam Backup Catalog Data Service og AcronisAgent.

Dataudsivning til dobbelt afpresning

Ifølge en rapport fra sikkerhedsfirmaet AdvIntel sletter Conti ikke kun sikkerhedskopier, men udnytter også backuptjenesterne til at eksfiltrere data, så de senere kan afpresse ofre med trusler om datalækager. Conti jagter for Veeam privilegerede brugere og tjenester og udnytter til at få adgang til, udtrække, fjerne og kryptere sikkerhedskopier for at sikre ransomware-brud er umulige at lave backup på. På denne måde, udtrak Conti samtidig data for yderligere offer afpresning, samtidig med at offeret uden chancer for hurtigt at gendanne deres filer.

Conti-angriberne er også ofte blevet observeret ved hjælp af Rclone open source-værktøjet til at uploade firmadata til skybaserede filhostingtjenester som Mega.

Ligesom de fleste ransomware grupper i disse dage, Conti fastholder en datalækage hjemmeside, hvor det fremstiller oplysninger om nye ofre. Gruppen er for nylig blevet irriteret over, at dens forhandlinger om løsepenge med ofre bliver lækket til journalister. Dette sker, fordi sådanne forhandlinger sker gennem et offer-specifikke “betalingssider” oprettet af angriberne, der normalt er inkluderet i løsesumnoter overladt til ofrene. Hvis løsesumnoter er uploadet til tjenester som VirusTotal, kan malware efterforskere finde betaling websteder og der se kontakt mellem ofre og gruppen.

I et nyligt blogindlæg truede gruppen med at frigive data fra ethvert offer, den forhandler med, hvis chats lækkes under forhandlingen. Det er for nylig sket efter at koncernen kompromitterede den japanske elektronikproducent JVCKenwood. For eksempel: ”Vi har i går konstateret, at vores chat med JVCKenwood, som vi ramte for en uge siden, er blevet rapporteret til journalisterne,” skrev gruppen. ”På trods af hvad der står i artiklen, gik forhandlingerne i overensstemmelse med en normal forretningsdrift. Men da offentliggørelsen fandt sted midt i forhandlingerne, resulterede det i vores beslutning om at afslutte forhandlingerne og offentliggøre dataene. JVCKenwood er allerede blevet informeret. Desuden har vi i denne uge igen spottet screenshots fra vores forhandlingschats, der cirkulerer over sociale medier.”

Desuden, gruppen advarede om, at hvis forhandlingerne chats er lækket efter løsesummen er betalt og ofrets filer er slettet, vil de offentliggøre data stjålet fra et andet offer i en form for kollektiv straf.

Sådan afbøder du Conti-angreb

Den fælles FBI og CISA rådgivende indeholder generelle råd til afbødning af ransomware og yderligere ressourcer, herunder anbefalinger såsom brug af multi-faktor autentificering til konti, gennemførelse af netværkssegmentering og trafikfiltrering, scanning for software sårbarheder og holde softwareprodukter ajour, fjerne unødvendige applikationer og anvende software udførelse restriktioner og kontrol, begrænse fjernadgang såsom RDP og begrænse adgangen til ressourcer over nettet ork, revision og begrænsning af brugen af administrative konti og implementering af slutpunkts- og registreringsresponsværktøjer.