“好队友”背刺事件之Conti作战手册泄露

  • A+
所属分类:安全闲碎

“好队友”背刺事件之Conti作战手册泄露


目录

Catalogue

  一、家族背景           五、作战手册
  二、传播方式           六、攻击手法
  三、多重勒索方式     七、样本分析

       四、信息泄露


1

家族背景
Conti 勒索病毒于2019年10月左右首次出现,并于2020年开始流行。Conti 勒索病毒采用的 RaaS 运营模式使其传播范围进一步扩大:在过去的一年中,Conti 勒索病毒针对医疗行业和紧急服务机构发起了多次勒索攻击,其影响范围超过400多个组织,赎金多达数百万美元。
Conti 勒索软件攻击的目标是执法机构、紧急医疗服务、911调度中心和市政当局。影响了全球超过400个组织,其中290个受害组织位于美国。
近期重大攻击活动:
  • 2021年5月,对爱尔兰医疗保健系统发起攻击索要2000万美元的赎金,并威胁说如果不支付赎金,他们将公布700GB的数据。爱尔兰卫生部长斯蒂芬唐纳利表示,该国的医疗保健系统没有支付赎金。然而,攻击者后来提供了解密密钥,但仍威胁要发布数据。
  • 2021年5月1号,对圣地亚哥的斯克里普斯医疗保健系统发起攻击。
  • 2020年10月25日,对佛蒙特大学健康网站发起攻击,每天给医疗保健系统造成约150万美元的损失,或总计约 6300 万美元的费用和收入损失。
分析发现,Conti 勒索软件和 Ryuk 勒索软件在传播方式和代码等 TTPs 上存在高度重叠,所以部分研究人员认为 Conti 是流行勒索软件家族 Ryuk 的变种。
截至目前,Conti 家族经过 Conti-2、Conti-3 等多个迭代版本,无论从代码结构还是代码复杂度都有明显的改进。

2
 
  传播方式
Conti 勒索软件采用 TrickBot 僵尸网络进行传播,但随着安全产品对于 Trcickbot 的检测越来越严格,Conti 勒索软件逐渐转而采用 BazarLoader 进行传播。
根据威胁情报平台 DarkTracer 的统计数据,Conti 勒索软件最近一次发起攻击是在不久前的6月28日。
“好队友”背刺事件之Conti作战手册泄露
受害者、时间图示(数据来源DarkTracer)
Conti近一年攻击活动频率:
“好队友”背刺事件之Conti作战手册泄露
图引自DarkTracer

3

作战手册
2021年8月5日,由于下级分销商对 Conti 运营组织的不满,在黑客论坛 xss 中泄露了运营者编写的 “Conti 作战和工具手册”。

Conti 勒索软件采用的是 RaaS 运营模式,即经验丰富的勒索软件开发人员负责创建和管理执行攻击所需的所有工具和基础设施,而招募的附属机构则负责实际的网络攻击和文件加密工作。

Conti 运营商通常将获得赎金的一定比例(通常为 20%至30%)作为自己的报酬,其余大部分所得不法利益分配给下属机构。但泄露该手册的附属机构表示,他们只收到了1,500美元,并抱怨说“他们招募傻瓜并将钱分给他们自己”,所以导致了此次泄漏事件的发生。

“好队友”背刺事件之Conti作战手册泄露
其中泄露的文档中包含以下内容:MANUALS(内网渗透工具及其说明)、CobaltStrike MANUAL_V2 (作战手册)、Manual_CS.txt(CS远控木马用法)。
“好队友”背刺事件之Conti作战手册泄露

“好队友”背刺事件之Conti作战手册泄露

想要了解更多详细信息?

点击下方链接或者“阅读原文”查看吧!


Conti 连环攻击后,作战手册泄露,是“被报复”还是“作茧自缚”?



关于微步在线研究响应团队

微步情报局,即微步在线研究响应团队,负责微步在线安全分析与安全服务业务,主要研究内容包括威胁情报自动化研发、高级 APT 组织&黑产研究与追踪、恶意代码与自动化分析技术、重大事件应急响应等。


微步情报局由精通木马分析与取证技术、Web 攻击技术、溯源技术、大数据、AI 等安全技术的资深专家组成,并通过自动化情报生产系统、云沙箱、黑客画像系统、威胁狩猎系统、追踪溯源系统、威胁感知系统、大数据关联知识图谱等自主研发的系统,对微步在线每天新增的百万级样本文件、千万级 URL、PDNS、Whois 数据进行实时的自动化分析、同源分析及大数据关联分析。微步情报局自设立以来,累计率先发现了包括数十个境外高级 APT 组织针对我国关键基础设施和金融、能源、政府、高科技等行业的定向攻击行动,协助数百家各个行业头部客户处置了肆虐全球的WannaCry 勒索事件、BlackTech 定向攻击我国证券和高科技事件、海莲花长期定向攻击我国海事/高科技/金融的攻击活动、OldFox 定向攻击全国上百家手机行业相关企业的事件。



- END -

点击下方名片,关注“微步在线研究响应中心”,公众号内回复“CO可获取PDF报告。



 点个 “在看”,再走哟 ~

本文始发于微信公众号(安全威胁情报):“好队友”背刺事件之Conti作战手册泄露

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: