Το Conti ransomware είναι μια νέα απειλή που στοχεύει εταιρικά δίκτυα. Οι εξελιγμένες δυνατότητές του τού επιτρέπουν να εκτελεί γρηγορότερες και πιο στοχευμένες επιθέσεις. Οι ερευνητές παρατήρησαν ότι αυτό το ransomware μοιράζεται τον ίδιο malware κώδικα με το Ryuk, το οποίο έχει αρχίσει να εξαφανίζεται όσο το Conti πραγματοποιεί επιθέσεις.
Το Conti ransomware εμφανίστηκε για πρώτη φορά σε μεμονωμένες επιθέσεις στα τέλη Δεκεμβρίου 2019. Οι επιθέσεις αυξήθηκαν σταδιακά και στα τέλη Ιουνίου άρχισαν να αυξάνονται κατακόρυφα.
Το ransomware παραβιάζει εταιρικά δίκτυα και εξαπλώνεται για να αποκτήσει domain admin credentials. Μόλις οι επιτιθέμενοι αποκτήσουν δικαιώματα διαχειριστή, αναπτύσσουν το ransomware και προχωρούν σε κρυπτογράφηση των συσκευών.
Δεν είναι γνωστό εάν οι χειριστές του Conti κλέβουν τα αρχεία των θυμάτων πριν κρυπτογραφήσουν τις συσκευές.
Η σύνδεση ανάμεσα σε Ryuk και Conti ransomware
Τον Αύγουστο του 2017, το Hermes Ransomware πωλούνταν στο Exploit.in hacking forum από έναν Ρώσο εγκληματία του κυβερνοχώρου.
Ο Vitali Kremez πιστεύει ότι οι hackers μπορεί να αγόρασαν αυτό το ransomware builder και να το μετέτρεψαν στο Ryuk.
Σε κάποιο σημείο, οι εγκληματίες που χρησιμοποιούσαν το Ryuk χωρίστηκαν ή αποφάσισαν να κάνουν κάποιες αλλαγές και άρχισαν να χρησιμοποιούν το όνομα “Conti“, το οποίο φαίνεται να βασίζεται στον κώδικα του Ryuk version 2.
Πέρα από τις ομοιότητες στον malware κώδικα, οι ερευνητές παρατήρησαν ομοιότητα και στο template του σημειώματος για τα λύτρα.
Επιπλέον, ο Kremez παρατήρησε την ίδια TrickBot υποδομή να χρησιμοποιείται τόσο από τους χειριστές του Ryuk όσο και του Conti για την πραγματοποίηση των επιθέσεων.
Αν και δεν είναι 100% σαφές εάν το Conti είναι διάδοχος του Ryuk, τα γραφήματα υποβολής στο ID Ransomware δείχνουν ότι οι επιθέσεις Conti αυξάνονται, ενώ του Ryuk μειώνονται.
Conti Ransomware: Κάποια ενδιαφέρονται χαρακτηριστικά
Σε μια νέα έκθεση της Carbon Black, οι ερευνητές περιέγραψαν κάποια ενδιαφέροντα χαρακτηριστικά του Conti Ransomware.
Πριν την κρυπτογράφηση, το ransomware διακόπτει τη λειτουργία 146 Windows υπηρεσιών, που σχετίζονται με λύσεις ασφαλείας, δημιουργίας αντιγράφων ασφαλείας, βάσεων δεδομένων και email. Το Conti ransomware διαγράφει, επίσης, τα αντίγραφα Shadow Volume και αρχίζει να κρυπτογραφεί τον υπολογιστή.
Κατά την κρυπτογράφηση, το ransomware προσαρτά την επέκταση .CONTI στα κρυπτογραφημένα αρχεία και αφήνει ένα σημείωμα για λύτρα με το όνομα CONTI_README.txt σε κάθε φάκελο.
Επίσης, χρησιμοποιεί ένα μοναδικό κλειδί κρυπτογράφησης AES-256 ανά αρχείο, το οποίο στη συνέχεια κρυπτογραφείται με ένα bundled δημόσιο κλειδί κρυπτογράφησης RSA-4096.
Στο σημείωμα, το ransomware δίνει ελάχιστες πληροφορίες σχετικά με την επίθεση και τον τρόπο επικοινωνίας με τους επιτιθέμενους (άλλη μια ομοιότητα με το Ryuk).
Περισσότερες λεπτομέρειες για τη λειτουργία του Conti μπορείτε να βρείτε εδώ.