Ένα λιγότερο γνωστό στέλεχος ransomware γνωστό ως Conti χρησιμοποιεί έως και 32 ταυτόχρονα νήματα CPU για την κρυπτογράφηση αρχείων σε μολυσμένους υπολογιστές για μεγαλύτερες ταχύτητες κρυπτογράφησης, ανέφεραν ερευνητές ασφαλείας από την Carbon Black την Τετάρτη.
Το Conti είναι το τελευταίο σε μια μεγάλη σειρά από στελέχη ransomware που έχουν εντοπιστεί φέτος. Όπως και οι περισσότερες οικογένειες ransomware σήμερα, το Conti σχεδιάστηκε για να ελέγχεται άμεσα από ένα adversary, αντί να εκτελείται αυτόματα από μόνο του.
Αυτοί οι τύποι στελεχών ransomware είναι επίσης γνωστοί ως “ransomware που λειτουργούν χειροκίνητα” και έχουν σχεδιαστεί για ανάπτυξη κατά τη διάρκεια στοχευμένων εισβολών σε μεγάλα εταιρικά ή κυβερνητικά δίκτυα.
Το Conti λειτουργεί όπως τα περισσότερα ransomware. Ωστόσο, έρχεται επίσης με τις δικές του λεπτομέρειες, συμπεριλαμβανομένων ορισμένων χαρακτηριστικών που δεν έχουν παρατηρηθεί σε άλλα στελέχη.
Σε μια τεχνική έκθεση που δημοσιεύθηκε την Τετάρτη, η TAU της Carbon Black αναφέρει ότι το στοιχείο που ξεχώρισε κατά την ανάλυσή τους σχετικά με τον κώδικα του Conti ήταν η υποστήριξή του για λειτουργίες πολλαπλών νημάτων.
Αυτό δεν είναι τελειώς μοναδικό. Και άλλα στελέχη ransomware υποστηρίζουν τις λειτουργίες πολλαπλών νημάτων, εκτελώντας πολλαπλούς ταυτόχρονους “υπολογισμούς” στην CPU για να αποκτήσουν ταχύτητα κατά την εκτέλεση τους και να επιτρέψουν τη διαδικασία κρυπτογράφησης να ολοκληρωθεί γρηγορότερα πριν εντοπιστεί η λειτουργία κλειδώματος αρχείων και σταματήσει από τα antivirus.
Άλλα στελέχη ransomware που χρησιμοποιούν πολλαπλά νήματα CPU είναι τα REVIL (Sodinokibi), LockBit, Rapid, Thanos, Phobos, LockerGoga και MegaCortex – για να αναφέρουμε μόνο μερικά. Αλλά η Carbon Black λέει ότι το Conti ξεχώρισε λόγω του μεγάλου αριθμού ταυτόχρονων νημάτων που χρησιμοποίησε – δηλαδή, 32 – που είχε ως αποτέλεσμα “ταχύτερη κρυπτογράφηση σε σύγκριση με πολλά άλλα ransomware”.
Ωστόσο, αυτή δεν ήταν η μοναδική λεπτομέρεια που έχει εντοπίσει η Carbon Black στο Conti. Το δεύτερο χαρακτηριστικό ήταν ένας λεπτομερής έλεγχος των στόχων κρυπτογράφησης του ransomware μέσω ενός command-line client.
Οι ερευνητές της Carbon Black λένε ότι το ransomware μπορεί να διαμορφωθεί ώστε να παραλείπει την κρυπτογράφηση αρχείων στις τοπικές μονάδες δίσκου και να κρυπτογραφεί δεδομένα σε δίκτυα κοινόχρηστων SMB μόνο τροφοδοτώντας στο binary του ransomware μια λίστα διευθύνσεων IP μέσω της γραμμής εντολών.
Επιπλέον, αυτή η συμπεριφορά μπορεί επίσης να προκαλέσει σύγχυση στις ομάδες ασφαλείας που ερευνούν τέτοια περιστατικά, οι οποίες ενδέχεται να μην είναι σε θέση να εντοπίσουν το σημείο εισόδου σε ένα δίκτυο, εκτός εάν διενεργήσουν πλήρη έλεγχο όλων των συστημάτων και επιτρέποντας στους hacker να παραμείνουν κρυμμένοι μέσα σε ένα μόνο μηχάνημα στο δίκτυο του θύματος.
Η τρίτη μοναδική τεχνική που εντοπίζεται στον κώδικα Conti είναι η κατάχρηση του Windows Restart Manager – του στοιχείου των Windows που ξεκλειδώνει αρχεία πριν από την επανεκκίνηση του λειτουργικού συστήματος.
Σύμφωνα με την Carbon Black, το Conti καλεί αυτό το στοιχείο για να ξεκλειδώσει και να τερματίσει τις διαδικασίες της εφαρμογής, ώστε να μπορεί να κρυπτογραφήσει τα αντίστοιχα δεδομένα τους. Αυτό το τέχνασμα μπορεί να είναι απίστευτα χρήσιμο σε servers των Windows, όπου τα περισσότερα ευαίσθητα δεδομένα τα διαχειρίζεται μια βάση δεδομένων που είναι σχεδόν πάντα σε λειτουργία.
Μέχρι στιγμής δεν υπάρχει τρόπος ανάκτησης αρχείων που είναι κλειδωμένα μέσω του Conti ransomware, που σημαίνει ότι πρέπει να χρησιμοποιηθούν όλοι οι γνωστοί μέθοδοι πρόληψης – όπως η διατήρηση αντιγράφων ασφαλείας εκτός σύνδεσης, η ασφάλιση των workstations και οι ανοιχτές θύρες απομακρυσμένης διαχείρισης.
