Conti Ransomware explicado: o que você precisa saber sobre este grupo criminoso agressivo

Conti tem sido uma das operações de ransomware mais agressivas nos últimos dois anos e continua a vitimar muitas grandes empresas, bem como organizações governamentais, policiais e de saúde. Os pesquisadores alertam que, ao contrário de outros grupos de ransomware que geralmente se preocupam com sua reputação, o grupo Conti nem sempre cumpre suas promessas às vítimas.

“Normalmente, os operadores de ransomware mais bem-sucedidos se esforçam para estabelecer e manter alguma aparência de ‘integridade’ como forma de facilitar o pagamento de resgate das vítimas”, disseram pesquisadores da Palo Alto Networks em uma análise. “Eles querem estabelecer uma reputação estelar de ‘atendimento ao cliente’ e de cumprir o que prometem – que se você pagar um resgate, seus arquivos serão descriptografados (e não aparecerão em um site de vazamento). Ainda assim, em nossa experiência em ajudar os clientes a remediar os ataques, o Conti não demonstrou nenhum sinal de que se preocupa com sua reputação perante as possíveis vítimas”.

O grupo Conti apareceu pela primeira vez no final de 2019 e cresceu lentamente para se tornar uma das operações de ransomware-as-a-service (RaaS) predominantes. Acredita-se que ele tenha algumas conexões com o ransomware Ryuk, que era executado por um grupo de cibercrime russo conhecido como Wizard Spider. A Agência de Segurança Cibernética e de Infraestrutura dos Estados Unidos (CISA) e o Federal Bureau of Investigation (FBI) disseram, em um alerta recente, que observaram o uso de ransomware Conti em mais de 400 ataques contra organizações americanas e internacionais. De acordo com a empresa de inteligência de crimes cibernéticos Recorded Future, o Conti foi a cepa de ransomware responsável pelo segundo maior número de vítimas em setembro de 2021, depois do LockBit.

Conti também opera de maneira um pouco diferente de outros grupos RaaS. A maioria dos grupos trabalha com parceiros chamados de afiliados para comprometer as vítimas e implantar o programa de ransomware por uma porcentagem dos pagamentos do resgate, mas acredita-se que o Conti pague um salário mensal aos seus desenvolvedores.

Como Conti obtém acesso inicial à rede

Os invasores que usam o Conti empregam muitos métodos para obter acesso às redes corporativas, incluindo a compra de acesso de outros grupos que já têm esse acesso – os chamados brokers de acesso à rede. Como o Ryuk, os operadores do Conti usaram o malware TrickBot para acesso, bem como outros Trojans, como o IcedID. Esses cavalos de Tróia são normalmente distribuídos por meio de e-mails de spear-phishing contendo links maliciosos ou anexos do Microsoft Word.

Credenciais roubadas ou fracas de Protocolo de Área de Trabalho Remota (RDP) também são um método comum de entrada em redes para o Conti e todos os grupos de ransomware. Os consultores da CISA e do FBI também mencionam software falso promovido por meio de otimização de mecanismo de pesquisa, redes de distribuição de malware como ZLoader e a exploração de vulnerabilidades em ativos de TI externos como outros métodos comuns de acesso dos afiliados do Conti. Em invasões investigadas pela Sophos que resultaram na implantação do Conti, a empresa observou a exploração de dispositivos de firewall FortiGate executando firmware vulnerável.

Como Conti se move lateralmente

Uma vez dentro da empresa, os hackers usam uma coleção de ferramentas para mapear a rede e expandir seu acesso. Os pesquisadores viram o uso da estrutura de ataque Cobalt Strike e uma ferramenta de teste de penetração chamada Router Scan, que pode procurar credenciais administrativas da web de roteadores, câmeras e dispositivos de armazenamento conectados à rede.

Os invasores também lançam ataques Kerberos com o objetivo de obter o hash do administrador e conduzir ataques de força bruta. Muitos grupos, incluindo Conti, usam ferramentas comuns como Windows Sysinternal ou Mimikatz para obter hashes de usuário e credenciais de texto simples que permitem o escalonamento de privilégios e o movimento lateral dentro do domínio.

Afiliados do Conti também foram observados explorando vulnerabilidades bem conhecidas do Windows dentro de redes como SMB Server (incluindo EternalBlue), PrintNightmare (CVE-2021-34527) no serviço Windows Print spooler ou Zerologon (CVE-2020-1472) nos sistemas Microsoft Active Directory Domain Controller.

Como Conti criptografa arquivos e exclui backups

Os atacantes do Conti não implantam o ransomware diretamente e, em vez disso, contam com carregadores mais leves que podem evitar a detecção de antivírus. O grupo usou os implantes Cobalt Strike e Meterpreter (Metasploit), bem como um carregador chamado getuid para injetar o ransomware diretamente na memória.

“Como os carregadores reflexivos entregam a carga útil do ransomware na memória, nunca gravando o binário do ransomware no sistema de arquivos do computador infectado, os invasores eliminam um calcanhar de Aquiles crítico que afeta a maioria das outras famílias de ransomware: não há nenhum artefato do ransomware deixado para trás nem mesmo por um analista de malware diligente para descobrir e estudar”, disseram pesquisadores da Sophos em uma análise no início deste ano.

O ransomware também ofusca suas strings e chamadas de API do Windows usando valores hash em vez de funções de API e adicionando outra camada de criptografia em cima dela. Tudo isso tem o objetivo de dificultar a detecção automatizada por programas de segurança e a engenharia reversa manual.

Outro aspecto interessante do ransomware Conti é que ele suporta parâmetros de execução de linha de comando que o instruem a criptografar o disco local, um compartilhamento de rede específico ou até mesmo uma lista de compartilhamentos de rede definidos em um arquivo. “O efeito notável dessa capacidade é que ela pode causar danos direcionados em um ambiente em um método que pode frustrar as atividades de resposta a incidentes”, disseram pesquisadores da VMware em uma análise.

“Um ataque bem-sucedido pode ter destruição limitada aos compartilhamentos de um servidor que não tem capacidade de Internet, mas onde não há evidências de destruição semelhante em outras partes do ambiente. Isso também tem o efeito de reduzir o ‘ruído’ geral de um ataque de ransomware onde centenas de sistemas começam imediatamente a mostrar sinais de infecção. Em vez disso, a criptografia pode nem ser perceptível por dias ou semanas, depois que os dados são acessados por um usuário”.

Conti usa o algoritmo AES-256 para criptografar arquivos com uma chave pública codificada no programa de ransomware. Isso significa que cada binário é criado especificamente para cada vítima para garantir que as vítimas tenham um par de chaves exclusivo. Ele também permite que o programa criptografe arquivos, mesmo se não conseguir entrar em contato com um servidor de comando e controle.

Os atacantes de Conti também se esforçaram para complicar os esforços de restauração. O malware começa desativando e excluindo as cópias de sombra de volume do Windows, mas também itera cerca de 160 comandos para desativar vários serviços do sistema Windows, incluindo alguns associados a soluções de backup de terceiros, incluindo Acronis VSS Provider, Enterprise Client Service, SQLsafe Backup Service, SQLsafe Filter Service, Veeam Backup Catalog Data Service e AcronisAgent.

Exfiltração de dados para extorsão dupla

De acordo com um relatório da empresa de segurança AdvIntel, o Conti não apenas exclui backups, mas também aproveita os serviços de backup para exfiltrar dados para que possam posteriormente chantagear as vítimas com ameaças de vazamento de dados. “O Conti busca usuários e serviços privilegiados da Veeam e aproveita para acessar, exfiltrar, remover e criptografar backups para garantir que violações de ransomware não possam ser copiadas”, disseram os pesquisadores da empresa. “Dessa forma, o Conti simultaneamente exfiltrava os dados para posterior chantagem da vítima, enquanto a deixava sem chances de recuperar rapidamente seus arquivos enquanto os backups eram removidos”.

Os atacantes do Conti também foram observados com frequência usando o utilitário de código aberto Rclone para fazer upload de dados da empresa para serviços de hospedagem de arquivos baseados em nuvem como o Mega.

Como a maioria dos grupos de ransomware hoje em dia, o Conti mantém um site de vazamento de dados, onde publica informações sobre novas vítimas. O grupo recentemente ficou irritado com o fato de que seus bate-papos de negociação de resgate com as vítimas estão vazando para jornalistas. Isso ocorre porque essas negociações acontecem por meio de “sites de pagamento” específicos para a vítima, criados pelos atacantes, que geralmente são incluídos nas notas de resgate deixadas para as vítimas. Se as notas de resgate forem enviadas para serviços como o VirusTotal, os pesquisadores de malware podem encontrar os sites de pagamento e implicitamente ver a comunicação entre as vítimas e o grupo.

Em uma postagem recente no blog, o grupo ameaçou liberar os dados de qualquer vítima com quem está negociando se os bate-papos vazarem durante a negociação. Isso aconteceu recentemente depois que o grupo comprometeu o fabricante japonês de eletrônicos JVCKenwood. “Por exemplo, ontem, descobrimos que nosso bate-papo com JVCKenwood, a quem acertamos há uma semana, foi relatado a jornalistas”, escreveu o grupo. “Apesar do que diz a reportagem, as negociações iam de acordo com o normal funcionamento dos negócios. No entanto, como a publicação aconteceu no meio das negociações, resultou na nossa decisão de encerrar as negociações e publicar os dados. JVCKenwood já foi informado. Além disso, nesta semana, mais uma vez vimos screenshots de nossos bate-papos de negociação circulando nas redes sociais”.

O grupo também alertou que se houver vazamento dos chats de negociação após o pagamento do resgate e a exclusão dos arquivos da vítima, ele publicará os dados roubados de outra vítima em forma de punição coletiva.

Como mitigar ataques Conti

O comunicado conjunto do FBI e da CISA contém conselhos gerais de mitigação de ransomware e recursos adicionais, incluindo recomendações como o uso de autenticação multifator para contas, implementação de segmentação de rede e filtragem de tráfego, verificação de vulnerabilidades de software e manutenção de produtos de software atualizados, remoção de aplicativos desnecessários e aplicação de restrições e controles de execução de software, restrição do acesso remoto como RDP e limitação do acesso a recursos na rede, audição e limitação do uso de contas administrativas e implementação de ferramentas de resposta de detecção e endpoint.

O aviso também contém um link para uma lista de Indicadores de Compromisso Conti (IOCs) e as técnicas e procedimentos usados ​​pelo grupo estão descritos na estrutura MITER ATT & CK.