Conti Ransomware Affiliates tarafından kullanılan eğitim materyali bu ay çevrimiçi olarak sızdırılmış, saldırganların meşru yazılımı nasıl kötüye kullanmasına ve siber sigorta poliçeleri aramalarına izin verdi.
Bu ayın başlarında, bir hacklemed forumuna gönderildi, Kobalt Strike C2 sunucuları için IP adresleri ve fidye yazılımı saldırılarını yapmak için bir 113 MB arşivi içeren C2 sunucuları için IP adresleri.
Bu sızdırılmış eğitim materyalinin kullanılması, güvenlik araştırmacıları, ağ yöneticileri ve olay cevaplayıcıları, saldırılara daha iyi cevap verebilir ve fidyeware çetesinin kullandığı uzlaşma (IOC'ler) ortak göstergeleri bulabilirler.
Bu, tam olarak gelişmiş Intel'in CEO'su Vitali Kremez tarafından yayınlanan yeni araştırmalara ilişkin durum budur.
Ransomware Gang tarafından kullanılan ilginç bir taktik, devam eden kalıcılık için yasal Atera uzaktan erişim yazılımını bir arka kapı olarak kullanmaktır.
Bir saldırı yaparken, fidye yazılımı operasyonları genellikle saldırganların komutları uzaktan yürütmek için kullanabilecekleri kobalt grev fenerlerini dağıtıyor ve bir ağa erişim kazandırır.
Bununla birlikte, güvenlik yazılımı ürünleri, Kobalt Strike Beacons'u tespit etmede daha usta hale geldi, tehdit aktörlerine erişim kaybına yol açtı.
Bunu önlemek için, KRemez, Conti Gang'in güvenlik yazılımının algılamayacağı tehlikeli sistemlerde meşru Atera uzaktan erişim yazılımını kurduğunu belirtir.
Atera, ajanları tek bir konsoldan yönetebilmeniz için, bitiş noktalarınıza ajanları dağıttığınız uzaktan bir yönetim hizmetidir. Acenteleri bir ağdaki tüm tehlikeye atılan cihazlara dağıtarak, Conti Tehditi aktörleri, herhangi bir cihaza tek bir platformdan uzaktan erişim kazanacaktır.
Kremez, Atera'yı ödün verilen bir cihaza kurmak için Conti Affiliates tarafından kullanılan aşağıdaki komutu gördüklerini belirtir:
"Olguların çoğunda, rakipler, Protonmail [.] COM ve Outlook'u kaldırdı [.] COM E-posta Hesapları ATERA kurulum komut dosyası ve konsol erişimini almak için Atera'ya kaydolmak için KREMEZ, ATERA'yı kullanarak Conti.
Kremez, yönlendirici aktiviteyi tespit etmek için 'curl' gibi komut satırı araçlarını engellemek veya denetlemek için yöneticilerin beyaz listesi kullanmalarını tavsiye eder.
"Denetleme ve / veya komut satırı tercümanlarını, herhangi bir şüpheli" curl "komutu ve yetkisiz" .msi "yükleyici komut dosyalarında, özellikle C: \ ProgramData ve C: \ 'den gelenler Temp dizini, "KRemez.
'COBALTTRIKE GUAL_V2 .DOCX' adlı sızdıran belgelerden biri, bir conti fidye yazılımı saldırısı yaparken bir bağlı kuruluşun kullanması gereken belirli adımlar.
Saldırının ilk aşamasından sonra, ağı ihlal etmek, kimlik bilgilerini toplamak ve Windows etki alanının kontrolü kazandırırken, tehdit aktörleri iştiraklerine, iştiraklerine uzatılmış ağdan elde edilen verileri başlatmaya başlamalarını söyler.
Bu aşama saldırganlar için esastır, çünkü dosyalar yalnızca mağdurları bir fidye ödemek için korkutmak için kullanılmaz, ancak çalınan muhasebe ve sigorta poliçesi belgeleri, ilk fidye miktarını oluşturmak ve müzakereler yapmak için de kullanılır.
İlk önce mağdurun sunucularından elde edilen veriler, Conti Ransomware çetesi, şirketin finansalları ile ilgili belgeleri ve bir siber güvenlik politikası olup olmadığı belgeleri arayacaktır.
"Anahtar kelimelere göre arama. Muhasebe raporlarına ihtiyacım var. Banka ifadeleri. 20-21 yıl boyunca. Hepsi taze. Özellikle önemli, siber sigorta, güvenlik politikası belgeleri" tercüme edilmiş conti eğitim belgesini okur.
Özellikle, tehdit aktörleri, ilk veri exfiltration adımlarının bir parçası olarak aşağıdaki anahtar kelimeleri arar:
Ransomware çetesi, iştiraklere "hemen geri ödemeck'i hazırlar" diler ve verileri eklenmiş veriler için bir barındırma platformu olarak kullandıkları MEGA'ya hemen yükleyin.
Kremez, saldırganların verileri doğrudan Mega Cloud Storage servisine yüklemek için meşru 'RClone' programını kullandığını söyledi.
"RClone Config, veri senkronizasyonu (veri klonlama) için (veri klonlama) için (bu durumda Mega) oluşturulur. Gerekli ağ paylaşımları, RCLONE.conf içinde kurbanın ağındaki ve bir komutun yürütüldüğü açıklar. bir blog yazısı.
Kremez, veri exfiltration denemelerini tespit etmek için C: \ ProgramData ve C: \ Temp dizinlerinden çalıştıran herhangi bir RClone.exe komutuna odaklanmanız gerektiğini belirtir.
Virustotal, çalınan HSE Veri Downloaders'ın özel bilgilerini ortaya koyması emredildi.
Tulsa, Conti Ransomware'den sonra Veri İhlali Uyarıları Polis Alıntılarını Sızar
Diavol Ransomware örneği Trickbot Gang'e daha güçlü bağlantı gösterir
Angry Conti Ransomware Affiliate Sızıntıları Çetenin Saldırı Oyun Kitabı
Ransomware çete, sahte tarayıcı güncellemesi ile CNA'nın ağını ihlal etti
Kaynak: Bleeping Computer