Conti
Conti era un'operazione di tipo "ransomware-as-a-service" (RaaS) nota per prendere di mira grandi organizzazioni internazionali e agenzie governative.
L'origine del ransomware Conti
Conti è nato come malware utilizzato malware nel 2019 dal gruppo Wizard Spider, con sede in Russia. Si ritiene che sia il successore del ransomware Ryuk, che a partire dall’agosto 2018 ha preso di mira oltre 100 aziende statunitensi e internazionali. Nel corso del tempo, Conti si è evoluto in un vero e proprio modello di ransomware-as-a-service (RaaS), utilizzato da numerosi gruppi per sferrare attacchi. È stato utilizzato contro aziende globali e agenzie governative, principalmente in Nord America, per rubare file sensibili e chiedere milioni di dollari di riscatto a organizzazioni con un fatturato elevato. Il gruppo Conti Ransomware è stato infine smantellato nel 2022 dopo essersi frammentato in gruppi più piccoli, ma i suoi metodi persistono ancora oggi.
Paesi presi di mira dal ransomware Conti
Conti ha preso di mira centinaia di vittime, dall'Irlanda al Costa Rica. Tuttavia, i suoi attacchi di maggior successo si sono verificati in Nord America.
Settori colpiti dal ransomware Conti
Il ransomware Conti viene utilizzato principalmente per colpire aziende e enti governativi, in particolare quelli situati in Nord America.
Le vittime del ransomware Conti
Ad oggi, 351 vittime sono cadute preda del ransomware Conti. Tra le vittime di alto profilo figurano l'Health Service Executive (HSE) irlandese, alcuni enti locali e diverse aziende private. L'attacco all'HSE nel 2021 ha causato gravi disagi nei servizi sanitari, a dimostrazione del notevole impatto operativo di Conti.
Fonte: Ransomware.live
Metodo di attacco del ransomware Conti
Conti utilizza varie tecniche, come ad esempio phishing , kit di exploit, siti web compromessi e credenziali RDP (Remote Desktop Protocol) rubate per diffondere il ransomware. Utilizza inoltre botnet come BazarLoader e TrickBot per infiltrarsi nei sistemi di destinazione.
Utilizzando strumenti come Cobalt Strike, gli operatori di Conti sfruttano le vulnerabilità e utilizzano tecniche come l'impersonificazione tramite pipe con nome (GetSystem) per ottenere privilegi di sistema.
Gli hacker disattivano Windows Defender modificando i criteri di gruppo e utilizzano tecniche di offuscamento per nascondere le attività dannose.
Conti utilizza strumenti come Mimikatz e Cobalt Strike per estrarre le credenziali ed eseguire il furto di ticket Kerberos (overpass-the-hash).
Gli autori delle minacce eseguono comandi utilizzando strumenti come nltest, net.exe e dsquery per mappare l'ambiente di rete.
Il movimento laterale avviene tramite SMB, PsExec e connessioni RDP, spesso instradate tramite il punto d'appoggio iniziale.
Il malware file e directory sensibili, che vengono poi trasferiti ai server degli hacker.
Il ransomware viene eseguito in memoria tramite strumenti come Cobalt Strike, crittografando i file e rendendo i sistemi inutilizzabili.
I dati vengono sottratti tramite le funzionalità di beaconing Cobalt Strikeo script personalizzati su canali sicuri.
Conti crittografa i file più importanti e lascia una richiesta di riscatto, esigendo un pagamento per decrittografarli ed evitare la divulgazione pubblica dei dati rubati.
Conti utilizza varie tecniche, come ad esempio phishing , kit di exploit, siti web compromessi e credenziali RDP (Remote Desktop Protocol) rubate per diffondere il ransomware. Utilizza inoltre botnet come BazarLoader e TrickBot per infiltrarsi nei sistemi di destinazione.
Utilizzando strumenti come Cobalt Strike, gli operatori di Conti sfruttano le vulnerabilità e utilizzano tecniche come l'impersonificazione tramite pipe con nome (GetSystem) per ottenere privilegi di sistema.
Gli hacker disattivano Windows Defender modificando i criteri di gruppo e utilizzano tecniche di offuscamento per nascondere le attività dannose.
Conti utilizza strumenti come Mimikatz e Cobalt Strike per estrarre le credenziali ed eseguire il furto di ticket Kerberos (overpass-the-hash).
Gli autori delle minacce eseguono comandi utilizzando strumenti come nltest, net.exe e dsquery per mappare l'ambiente di rete.
Il movimento laterale avviene tramite SMB, PsExec e connessioni RDP, spesso instradate tramite il punto d'appoggio iniziale.
Il malware file e directory sensibili, che vengono poi trasferiti ai server degli hacker.
Il ransomware viene eseguito in memoria tramite strumenti come Cobalt Strike, crittografando i file e rendendo i sistemi inutilizzabili.
I dati vengono sottratti tramite le funzionalità di beaconing Cobalt Strikeo script personalizzati su canali sicuri.
Conti crittografa i file più importanti e lascia una richiesta di riscatto, esigendo un pagamento per decrittografarli ed evitare la divulgazione pubblica dei dati rubati.
TTP utilizzati dal ransomware Conti
Come individuare minacce ransomware come Conti con Vectra AI
Migliaia di aziende si affidano a potenti sistemi di rilevamento basati sull'intelligenza artificiale per individuare e bloccare gli attacchi, prima ancora di ricevere una richiesta di riscatto.
Domande frequenti
Cos'è il ransomware Conti?
Il ransomware Conti è un'operazione di tipo "ransomware-as-a-service" apparsa sulla scena degli attacchi informatici nel 2019. Si tratta di un ransomware estremamente dannoso a causa della rapidità con cui crittografa i dati e si diffonde ad altri sistemi.
Chi c'è dietro il ransomware Conti?
Conti è stato sviluppato nel 2019 dalla famigerata banda russa di autori di ransomware Wizard Spider ed è stato successivamente utilizzato da numerosi autori di minacce come ransomware-as-a-service (RaaS).
Come funziona il ransomware Conti?
Il ransomware Conti viene diffuso attraverso una serie di metodi, quali phishing spear phishing e gli attacchi RDP. Una volta penetrato nel sistema preso di mira, ricorre sia alla crittografia dei dati che alla loro esfiltrazione per perpetrare una doppia estorsione: l'autore dell'attacco può infatti richiedere un pagamento sia per la decrittografia che per impedire la divulgazione dei dati rubati.
Quali settori sono presi di mira dagli attacchi del ransomware Conti?
Conti è noto per prendere di mira infrastrutture critiche e sistemi di enti governativi e grandi aziende in diversi settori, tra cui quello sanitario e manifatturiero.
Quali sono i paesi presi di mira dagli attacchi del ransomware Conti?
La maggior parte delle vittime del ransomware Conti si trova in Canada e negli Stati Uniti, anche se si sono verificati attacchi di rilievo anche nel Regno Unito.
Quante organizzazioni sono state colpite dal ransomware Conti?
Oltre 350 agenzie e organizzazioni sono state vittime del ransomware Conti, pagando complessivamente centinaia di milioni di dollari in riscatti.
Quali sono le conseguenze di un attacco del ransomware Conti?
Le vittime del ransomware Conti hanno dovuto pagare milioni di dollari non solo per ottenere le chiavi di decrittazione, ma anche per evitare la divulgazione dei dati sensibili rubati.
In che modo le organizzazioni possono individuare e bloccare gli attacchi del ransomware Conti?
Oltre alle misure preventive quali l'autenticazione a più fattori e la formazione dei dipendenti in materia di sicurezza informatica, le organizzazioni possono individuare e bloccare gli attacchi ransomware nelle prime fasi del loro sviluppo grazie a sistemi di rilevamento basati sull'intelligenza artificiale.
Come si diffonde il ransomware Conti?
Gli attacchi RaaS come Conti utilizzano malware infiltrarsi nei sistemi, rubare file, crittografare i file server e richiedere il pagamento di un riscatto sia per ottenere le chiavi di decrittografia sia per impedire la divulgazione dei dati rubati.
Quali sono i modi migliori per prevenire un attacco del ransomware Conti?
Il modo migliore per prevenire ransomware come Conti è ricorrere a sistemi di rilevamento basati sull'intelligenza artificiale, in grado di individuare gli attacchi nelle prime fasi del loro sviluppo.