Conti
Conti è un'operazione di ransomware-as-a-service (RaaS) nota per aver preso di mira grandi organizzazioni globali e agenzie governative.
L'origine di Conti Ransomware
Conti è nato come malware utilizzato per la prima volta dal gruppo Wizard Spider con sede in Russia nel 2019. Si pensa che sia il successore del ransomware Ryuk, che ha preso di mira più di 100 aziende statunitensi e internazionali a partire dall'agosto 2018. Nel corso del tempo, Conti è passato a un vero e proprio modello di ransomware-as-a-service (RaaS) utilizzato da numerosi gruppi per lanciare attacchi. È stato utilizzato contro aziende globali e agenzie governative, soprattutto in Nord America, per rubare file sensibili e chiedere riscatti di milioni di dollari a organizzazioni con alti profitti. Conti Ransomware Group è stato chiuso nel 2022 dopo essersi diviso in gruppi più piccoli, ma i suoi metodi persistono ancora oggi.
Fonte: OCD & MITRE ATT&CK
Obiettivi
Obiettivi di Conti
Paesi presi di mira dal ransomware Conti
Conti ha preso di mira centinaia di vittime dall'Irlanda al Costa Rica. Tuttavia, gli attacchi di maggior successo si sono verificati in Nord America.
Fonti: Ransomware.live
I settori presi di mira dal ransomware Conti
Conti Ransomware è utilizzato principalmente per colpire aziende e agenzie governative, in particolare quelle del Nord America.
Fonte dell'immagine: Sophos
I settori presi di mira dal ransomware Conti
Conti Ransomware è utilizzato principalmente per colpire aziende e agenzie governative, in particolare quelle del Nord America.
Fonte dell'immagine: Sophos
Le vittime di Conti Ransomware
Ad oggi, 351 vittime sono state colpite dal ransomware Conti. Tra le vittime di alto profilo figurano l 'Health Service Executive (HSE) irlandese, uffici governativi locali e diverse aziende private. L'attacco dell'HSE nel 2021 ha causato un'ampia interruzione dei servizi sanitari, illustrando il significativo impatto operativo di Conti.
Fonte: Ransomware.live
Metodo di attacco
Metodo di attacco del ransomware Conti
Conti utilizza varie tecniche come phishing e-mail, kit di exploit, siti web compromessi e credenziali rubate del protocollo desktop remoto (RDP) per distribuire il ransomware. Utilizza anche botnet come BazarLoader e TrickBot per infiltrarsi nei sistemi target.
Utilizzando strumenti come Cobalt Strike, gli operatori Conti sfruttano le vulnerabilità e utilizzano tecniche come l 'impersonificazione di named pipe (GetSystem) per ottenere i privilegi di SISTEMA.
Gli aggressori disabilitano Windows Defender tramite modifiche ai Criteri di gruppo e utilizzano tecniche di offuscamento per nascondere l'attività dannosa.
Conti utilizza strumenti come Mimikatz e Cobalt Strike per scaricare le credenziali ed eseguire il furto di biglietti Kerberos (overpass-the-hash).
Gli attori delle minacce eseguono comandi utilizzando strumenti come nltest, net.exe e dsquery per mappare l'ambiente di rete.
Il movimento laterale avviene tramite connessioni SMB, PsExec e RDP, spesso proxy attraverso il punto di appoggio iniziale.
Il sito malware esegue la scansione dei file e delle directory sensibili, che vengono poi trasferiti sui server degli aggressori.
Il ransomware viene eseguito in memoria utilizzando strumenti come Cobalt Strike, crittografando i file e rendendo inutilizzabili i sistemi.
L'esfiltrazione dei dati avviene tramite le funzionalità di beaconing di Cobalt Strikeo tramite script personalizzati su canali sicuri.
Conti cripta i file critici e lascia una nota di riscatto, chiedendo il pagamento per decriptare ed evitare l'esposizione pubblica dei dati rubati.
Accesso iniziale
Conti utilizza varie tecniche come phishing e-mail, kit di exploit, siti web compromessi e credenziali rubate del protocollo desktop remoto (RDP) per distribuire il ransomware. Utilizza anche botnet come BazarLoader e TrickBot per infiltrarsi nei sistemi target.
Escalation dei privilegi
Utilizzando strumenti come Cobalt Strike, gli operatori Conti sfruttano le vulnerabilità e utilizzano tecniche come l 'impersonificazione di named pipe (GetSystem) per ottenere i privilegi di SISTEMA.
Difesa Evasione
Gli aggressori disabilitano Windows Defender tramite modifiche ai Criteri di gruppo e utilizzano tecniche di offuscamento per nascondere l'attività dannosa.
Accesso alle credenziali
Conti utilizza strumenti come Mimikatz e Cobalt Strike per scaricare le credenziali ed eseguire il furto di biglietti Kerberos (overpass-the-hash).
Scoperta
Gli attori delle minacce eseguono comandi utilizzando strumenti come nltest, net.exe e dsquery per mappare l'ambiente di rete.
Movimento laterale
Il movimento laterale avviene tramite connessioni SMB, PsExec e RDP, spesso proxy attraverso il punto di appoggio iniziale.
Collezione
Il sito malware esegue la scansione dei file e delle directory sensibili, che vengono poi trasferiti sui server degli aggressori.
Esecuzione
Il ransomware viene eseguito in memoria utilizzando strumenti come Cobalt Strike, crittografando i file e rendendo inutilizzabili i sistemi.
Esfiltrazione
L'esfiltrazione dei dati avviene tramite le funzionalità di beaconing di Cobalt Strikeo tramite script personalizzati su canali sicuri.
Impatto
Conti cripta i file critici e lascia una nota di riscatto, chiedendo il pagamento per decriptare ed evitare l'esposizione pubblica dei dati rubati.
MITRE ATT&CK Mappatura
TTP utilizzate da Conti Ransomware
TA0001: Initial Access
T1566
Phishing
TA0002: Execution
T1059
Command and Scripting Interpreter
TA0003: Persistence
No items found.
TA0004: Privilege Escalation
T1548
Abuse Elevation Control Mechanism
TA0005: Defense Evasion
T1548
Abuse Elevation Control Mechanism
T1112
Modify Registry
TA0006: Credential Access
T1003
OS Credential Dumping
TA0007: Discovery
T1087
Account Discovery
TA0008: Lateral Movement
T1021
Remote Services
TA0009: Collection
T1074
Data Staged
TA0011: Command and Control
T1071
Application Layer Protocol
TA0010: Exfiltration
No items found.
TA0040: Impact
T1486
Data Encrypted for Impact
Rilevamenti della piattaforma
Come rilevare le minacce ransomware come Conti con Vectra AI
Migliaia di organizzazioni aziendali si affidano a potenti rilevamenti guidati dall'intelligenza artificiale per individuare e bloccare gli attacchi, prima di essere colpiti da una nota di riscatto.
DOMANDE FREQUENTI
Che cos'è il ransomware Conti?
Il ransomware Conti è un'operazione di ransomware-as-a-service che ha fatto la sua comparsa sulla scena degli attacchi informatici nel 2019. È un ransomware estremamente dannoso per la velocità con cui cripta i dati e si diffonde ad altri sistemi.
Chi c'è dietro il ransomware Conti?
Conti è stato sviluppato dalla famigerata banda ransomware russa Wizard Spider nel 2019 ed è stato successivamente utilizzato da numerosi attori delle minacce come ransomware-as-a-service (RaaS).
Come funziona il ransomware Conti?
Il ransomware Conti viene distribuito con diversi metodi, come gli attacchi spear phishing e RDP. Una volta all'interno del sistema preso di mira, utilizza sia la crittografia che l'esfiltrazione dei dati per una doppia estorsione: l'aggressore può richiedere il pagamento sia per la decrittografia che per evitare il rilascio dei dati rubati.
Quali settori sono presi di mira dagli attacchi ransomware di Conti?
Conti è noto per aver preso di mira le infrastrutture e i sistemi critici di enti governativi e grandi aziende in settori come quello sanitario e manifatturiero.
Quali sono i Paesi presi di mira dagli attacchi ransomware di Conti?
La maggior parte delle vittime del ransomware Conti si trova in Canada e negli Stati Uniti, anche se si sono verificati attacchi notevoli anche nel Regno Unito.
Quante organizzazioni sono state colpite da Conti Ransomware?
Più di 350 agenzie e organizzazioni sono state vittime del ransomware Conti, pagando collettivamente centinaia di milioni di riscatti.
Quali sono le implicazioni di un attacco ransomware Conti?
Le vittime del ransomware Conti hanno dovuto pagare milioni di dollari non solo per ottenere le chiavi di decrittazione, ma anche per evitare il rilascio dei dati sensibili rubati.
Come possono le organizzazioni rilevare e bloccare gli attacchi ransomware Conti?
Oltre alle misure preventive, come l'autenticazione a più fattori e la formazione dei dipendenti in materia di sicurezza informatica, le organizzazioni possono individuare e bloccare gli attacchi ransomware nelle prime fasi della loro progressione grazie ai rilevamenti guidati dall'intelligenza artificiale.
Come si diffonde il ransomware Conti?
Gli attacchi RaaS come Conti utilizzano malware per infiltrarsi nei sistemi, rubare i file, crittografare i server dei file e richiedere il pagamento di un riscatto per le chiavi di decrittazione e per impedire il rilascio dei dati rubati.
Quali sono i modi migliori per prevenire un attacco ransomware Conti?
Il modo migliore per prevenire ransomware come Conti è quello di effettuare rilevamenti guidati dall'intelligenza artificiale per individuare gli attacchi nelle prime fasi della loro progressione.