Quer apoiar meu projeto de divulgação de noticias?
Agora é possivel Veja a noticia completa em: https://www.bleepingcomputer.com/news/security/how-conti-ransomware-hacked-and-encrypted-the-costa-rican-government/
Fonte: https://www.bleepingcomputer.com
Achou esse artigo interessante? Siga canalfsociety em
Instagram,
Facebook,
Telegram,
Twitter,
App Boletim Tec e
App Mr Robot Sticker para ler mais conteúdo exclusivo que postamos.
Surgiram detalhes sobre como a gangue de ransomware Conti violou o governo da Costa Rica, mostrando a precisão do ataque e a velocidade de passar do acesso inicial ao estágio final de dispositivos de criptografia.
Este é o último ataque da operação de ransomware Conti antes de o grupo fazer a transição para uma forma diferente de organização que depende de várias células trabalhando com outras gangues.
Intrusão de 5 dias de Conti no governo da Costa Rica
A operação de ransomware Conti foi lançada em 2020 para substituir Ryuk e rapidamente se tornou infâmia depois de atacar vítimas nos setores público e privado, incluindo governos locais nos EUA, escolas e sistemas nacionais de saúde .
Em 11 de abril de 2022, a Conti iniciou sua última incursão sob essa marca após obter acesso inicial à rede do governo da Costa Rica e se envolver em atividades de reconhecimento.
Um relatório da empresa de inteligência cibernética Advanced Intelligence (AdvIntel) detalha os passos dos hackers russos desde a base inicial até a exfiltração de 672 GB de dados em 15 de abril e a execução do ransomware.
O ponto de entrada do agente da ameaça era um sistema pertencente ao Ministério das Finanças da Costa Rica, ao qual um membro do grupo conhecido como 'MemberX' obteve acesso por uma conexão VPN usando credenciais comprometidas.
O CEO da Advanced Intelligence, Vitali Kremez, disse ao BleepingComputer que as credenciais comprometidas foram obtidas de malware instalado no dispositivo inicial comprometido na rede da vítima.
Mais de 10 sessões de beacon Cobalt Strike foram configuradas nos estágios iniciais do ataque, dizem os pesquisadores da AdvIntel no relatório.
“A infecção seguiu um fluxo de ataque típico em que os adversários obtiveram acesso do log de VPN comprometido instalando uma forma criptografada de Cobalt Strike dentro da sub-rede Costa Rica” - AdvIntel
Depois de obter acesso de administrador de domínio de rede local, o invasor usou a ferramenta de linha de comando Nltest para enumerar as relações de confiança do domínio. Em seguida, eles verificaram a rede em busca de compartilhamentos de arquivos usando os utilitários ShareFinder e AdFind.
Os detalhes da AdvIntel sobre a atividade do agente da ameaça na rede do governo da Costa Rica incluem os comandos específicos usados em cada etapa.
Conti escaneando a rede da Costa Rica govtsource: AdvIntel
De acordo com os pesquisadores, o MemberX usou o canal backdoor Cobalt Strike para baixar a saída do compartilhamento de arquivos para uma máquina local.
O invasor conseguiu acessar compartilhamentos administrativos nos quais eles carregaram um beacon Cobalt Strike DLL e o executaram usando a ferramenta PsExec para execução remota de arquivos.
Conti usando a ferramenta PsExec para fazer upload do Cobalt Strike na rede do governo da Costa Rica fonte: AdvIntel
Usando a ferramenta de pós-exploração Mimikatz para exfiltrar credenciais, o adversário coletou as senhas de logon e os hashes NTDS para os usuários locais, obtendo assim “hashes de administrador local, domínio e administrador corporativo em texto simples e bruto”.
Os pesquisadores dizem que os operadores da Conti aproveitaram o Mimikatz para executar um ataque DCSync e Zerlogon que lhes deu acesso a todos os hosts nas redes interconectadas da Costa Rica.
Para garantir que eles não percam o acesso caso os defensores detectem os beacons Cobalt Strike, Conti plantou a ferramenta de acesso remoto Atera em hosts com menos atividade de usuário onde eles tinham privilégios administrativos.
"Os adversários efetuaram ping em toda a rede e verificaram novamente os domínios de confiança da rede, aproveitando as credenciais de administrador corporativo com o ShareFinder e compilando uma lista de todos os ativos e bancos de dados corporativos disponíveis sob seus novos privilégios elevados" - AdvIntel
O roubo de dados foi possível usando o programa de linha de comando Rclone, que pode gerenciar arquivos em vários serviços de armazenamento em nuvem. Conti usou isso para fazer upload de dados para o serviço de hospedagem de arquivos MEGA.
Um diagrama do fluxo de ataque:
Fluxo de ataque de ransomware Conti na Costa Ricasource:AdvIntel
Pós-ataque: emergência nacional, Conti encerrado
De acordo com uma nota no site de vazamento do Conti, o pedido de resgate foi inicialmente de US$ 10 milhões e depois aumentou para US$ 20 milhões quando a Costa Rica se recusou a pagar.
No entanto, os pesquisadores da AdvIntel dizem que a comunicação interna entre os membros da Conti mostrou que o preço "estava muito abaixo de US$ 1 milhão".
A AdvIntel observa que o ataque de Conti ao governo da Costa Rica “foi relativamente pouco sofisticado” e que uma rede “plana” projetada combinada com compartilhamentos administrativos mal configurados ajudou o invasor a mudar para confianças de domínio.
Após esse ataque paralisante, a Costa Rica foi forçada em 8 de maio a declarar uma emergência nacional já que a intrusão se estendeu a vários órgãos governamentais, com algumas agências retomando as atividades no início de junho.
Cerca de 10 dias depois, os líderes da Conti começaram a encerrar a operação desligando parte da infraestrutura e anunciando que a marca não existia mais.
A etapa final aconteceu no final de junho, quando Conti fechou todos os sites usados para negociar resgates com as vítimas e desativou o site de vazamento de dados.
No entanto, o sindicato cibercriminoso continua vivo, sob uma organização diferente, onde seus membros se dispersaram em outras operações de ransomware (Quantum, Hive, AvosLocker, BlackCat, Hello Kitty).
Outras operações também no negócio de extorsão, menos a parte de criptografia de arquivos, que também estão vinculadas à Conti são Karakurt, BlackByte e o coletivo Bazarcall.
Postar um comentário