Conti
Conti era un'operazione di ransomware-as-a-service (RaaS) nota per prendere di mira grandi organizzazioni globali e agenzie governative.
L'origine di Conti Ransomware
Conti è nato come malware utilizzato malware dal gruppo russo Wizard Spider nel 2019. Si ritiene che sia il successore del ransomware Ryuk, che ha preso di mira più di 100 aziende statunitensi e internazionali a partire dall'agosto 2018. Nel corso del tempo, Conti è passato a un modello completo di ransomware-as-a-service (RaaS) utilizzato da numerosi gruppi per lanciare attacchi. È stato utilizzato contro aziende globali e agenzie governative, principalmente in Nord America, per rubare file sensibili e richiedere milioni di dollari di riscatto a organizzazioni con un fatturato elevato. Il gruppo Conti Ransomware è stato infine chiuso nel 2022 dopo essersi diviso in gruppi più piccoli, ma i suoi metodi persistono ancora oggi.
Paesi presi di mira dal ransomware Conti
Conti ha preso di mira centinaia di vittime dall'Irlanda al Costa Rica. Tuttavia, gli attacchi di maggior successo sono avvenuti in Nord America.
Settori presi di mira dal ransomware Conti
Conti Ransomware viene utilizzato principalmente per colpire aziende e agenzie governative, in particolare quelle situate in Nord America.
Le vittime del ransomware Conti
Ad oggi, 351 vittime sono cadute preda del ransomware Conti. Tra le vittime di alto profilo figurano l'Health Service Executive (HSE) irlandese, uffici governativi locali e diverse aziende private. L'attacco all'HSE nel 2021 ha causato gravi interruzioni nei servizi sanitari, dimostrando il significativo impatto operativo di Conti.
Fonte: Ransomware.live
Metodo di attacco del ransomware Conti
Conti utilizza varie tecniche come il phishing e-mail, kit di exploit, siti web compromessi e credenziali RDP (Remote Desktop Protocol) rubate per distribuire il ransomware. Utilizza anche botnet come BazarLoader e TrickBot per infiltrarsi nei sistemi di destinazione.
Utilizzando strumenti come Cobalt Strike, gli operatori Conti sfruttano le vulnerabilità e utilizzano tecniche come l'impersonificazione dei pipe denominati (GetSystem) per ottenere privilegi di SISTEMA.
Gli aggressori disattivano Windows Defender tramite modifiche ai criteri di gruppo e utilizzano tecniche di offuscamento per nascondere le attività dannose.
Conti utilizza strumenti come Mimikatz e Cobalt Strike per scaricare le credenziali ed eseguire il furto dei ticket Kerberos (overpass-the-hash).
Gli autori delle minacce eseguono comandi utilizzando strumenti quali nltest, net.exe e dsquery per mappare l'ambiente di rete.
Il movimento laterale avviene tramite connessioni SMB, PsExec e RDP, spesso proxy attraverso il punto di accesso iniziale.
Il malware alla ricerca di file e directory sensibili, che vengono poi sottratti e trasferiti ai server degli aggressori.
Il ransomware viene eseguito in memoria utilizzando strumenti come Cobalt Strike, crittografando i file e rendendo i sistemi inutilizzabili.
I dati vengono sottratti utilizzando le funzionalità di beaconing Cobalt Strikeo script personalizzati su canali sicuri.
Conti crittografa i file critici e lascia una richiesta di riscatto, chiedendo un pagamento per decrittografarli ed evitare la divulgazione pubblica dei dati rubati.
Conti utilizza varie tecniche come il phishing e-mail, kit di exploit, siti web compromessi e credenziali RDP (Remote Desktop Protocol) rubate per distribuire il ransomware. Utilizza anche botnet come BazarLoader e TrickBot per infiltrarsi nei sistemi di destinazione.
Utilizzando strumenti come Cobalt Strike, gli operatori Conti sfruttano le vulnerabilità e utilizzano tecniche come l'impersonificazione dei pipe denominati (GetSystem) per ottenere privilegi di SISTEMA.
Gli aggressori disattivano Windows Defender tramite modifiche ai criteri di gruppo e utilizzano tecniche di offuscamento per nascondere le attività dannose.
Conti utilizza strumenti come Mimikatz e Cobalt Strike per scaricare le credenziali ed eseguire il furto dei ticket Kerberos (overpass-the-hash).
Gli autori delle minacce eseguono comandi utilizzando strumenti quali nltest, net.exe e dsquery per mappare l'ambiente di rete.
Il movimento laterale avviene tramite connessioni SMB, PsExec e RDP, spesso proxy attraverso il punto di accesso iniziale.
Il malware alla ricerca di file e directory sensibili, che vengono poi sottratti e trasferiti ai server degli aggressori.
Il ransomware viene eseguito in memoria utilizzando strumenti come Cobalt Strike, crittografando i file e rendendo i sistemi inutilizzabili.
I dati vengono sottratti utilizzando le funzionalità di beaconing Cobalt Strikeo script personalizzati su canali sicuri.
Conti crittografa i file critici e lascia una richiesta di riscatto, chiedendo un pagamento per decrittografarli ed evitare la divulgazione pubblica dei dati rubati.
TTP utilizzati dal ransomware Conti
Come rilevare minacce ransomware come Conti con Vectra AI
Migliaia di organizzazioni aziendali si affidano a potenti sistemi di rilevamento basati sull'intelligenza artificiale per individuare e bloccare gli attacchi prima di ricevere una richiesta di riscatto.
Domande frequenti
Che cos'è il ransomware Conti?
Conti ransomware è un'operazione ransomware-as-a-service apparsa sulla scena degli attacchi informatici nel 2019. Si tratta di un ransomware estremamente dannoso a causa della velocità con cui crittografa i dati e si diffonde ad altri sistemi.
Chi c'è dietro il ransomware Conti?
Conti è stato sviluppato dalla famigerata banda russa di ransomware Wizard Spider nel 2019 e successivamente utilizzato da numerosi autori di minacce come ransomware-as-a-service (RaaS).
Come funziona il ransomware Conti?
Il ransomware Conti viene diffuso attraverso una serie di metodi, quali spear phishing e attacchi RDP. Una volta penetrato nel sistema preso di mira, utilizza sia la crittografia dei dati che l'esfiltrazione per una doppia estorsione: l'autore dell'attacco può richiedere un pagamento sia per la decrittografia che per evitare la divulgazione dei dati rubati.
Quali settori sono presi di mira dagli attacchi ransomware Conti?
Conti è noto per prendere di mira infrastrutture e sistemi critici di agenzie governative e grandi aziende in diversi settori, tra cui quello sanitario e manifatturiero.
Quali paesi sono presi di mira dagli attacchi ransomware Conti?
La maggior parte delle vittime del ransomware Conti si trova in Canada e negli Stati Uniti, anche se attacchi significativi si sono verificati anche nel Regno Unito.
Quante organizzazioni sono state colpite dal ransomware Conti?
Più di 350 agenzie e organizzazioni sono cadute vittime del ransomware Conti, pagando complessivamente centinaia di milioni in riscatti.
Quali sono le implicazioni di un attacco ransomware Conti?
Le vittime del ransomware Conti hanno dovuto pagare milioni di dollari non solo per ottenere le chiavi di decrittazione, ma anche per evitare la divulgazione dei dati sensibili rubati.
Come possono le organizzazioni individuare e bloccare gli attacchi ransomware Conti?
Oltre alle misure preventive come l'autenticazione a più fattori e la formazione dei dipendenti sulla sicurezza informatica, le organizzazioni possono individuare e bloccare gli attacchi ransomware nelle prime fasi del loro sviluppo grazie a sistemi di rilevamento basati sull'intelligenza artificiale.
Come si diffonde il ransomware Conti?
Gli attacchi RaaS come Conti utilizzano malware infiltrarsi nei sistemi, rubare file, crittografare i file server e richiedere il pagamento di un riscatto sia per ottenere le chiavi di decrittazione sia per impedire la divulgazione dei dati rubati.
Quali sono i modi migliori per prevenire un attacco ransomware Conti?
Il modo migliore per prevenire ransomware come Conti è utilizzare sistemi di rilevamento basati sull'intelligenza artificiale per individuare gli attacchi nelle prime fasi del loro sviluppo.