Conti: un affilié divulgue le manuel d’attaque du gang de ransomware

0

Un affilié de Conti qui semble être mécontent a divulgué le matériel de formation du gang lors de la conduite d’attaques, y compris des informations sur l’un des opérateurs du ransomware.

L’opération de ransomware Conti est exécutée comme un ransomware-as-a-service (RaaS), où l’équipe principale gère les sites malveillants et Tor, tandis que les affiliés recrutés effectuent des violations de réseau et chiffrent les appareils.

Dans le cadre de cet arrangement, l’équipe principale gagne 20 à 30 % d’un paiement de rançon, tandis que les affiliés gagnent le reste.

Un chercheur en sécurité a partagé un message de forum créé par un affilié de Conti en colère qui a divulgué publiquement des informations sur l’opération de ransomware. Ces informations incluent les adresses IP des serveurs C2 de Cobalt Strike et une archive de 113 Mo contenant de nombreux outils et supports de formation pour mener des attaques de ransomware.

conti
Message de forum d’un affilié mécontent

L’affilié a déclaré avoir publié le matériel car il n’a été payé que 1 500 $ dans le cadre d’une attaque, tandis que le reste de l’équipe gagne des millions et promet de gros gains après qu’une victime ait payé une rançon.

« Je vous fusionne leur adresse IP de serveurs cobalt et le type de matériel de formation. 1500 $ oui, bien sûr, ils recrutent des bleus et se partagent l’argent, et les garçons sont nourris avec ce qu’ils leur diront quand la victime paiera « , a posté l’affilié sur un forum de piratage russophone populaire.

Des images de configurations de balises Cobalt Strike qui contiennent les adresses IP des serveurs de commande et de contrôle utilisés par le gang de ransomware sont jointes au message ci-dessus.

Dans un tweet du chercheur en sécurité Pancak3, il est conseillé à tout le monde de bloquer ces adresses IP pour empêcher les attaques du groupe.

Dans un article ultérieur, l’affilié a partagé une archive contenant 111 Mo de fichiers, y compris des outils de piratage, des manuels rédigés en russe, du matériel de formation et des documents d’aide qui auraient été fournis aux affiliés lors de l’exécution d’attaques de ransomware Conti.

Un chercheur en sécurité a partagé une capture d’écran de ce dossier extrait. On nous a dit qu’il contient un manuel sur le déploiement de Cobalt Strike, mimikatz pour vider les hachages NTLM et de nombreux autres fichiers texte remplis de diverses commandes.

folder listing
Fuite du matériel de formation Conti

Vitali Kremez d’Intel Advanced, qui avait déjà analysé les archives, a déclaré que le matériel de formation correspond aux cas Conti actifs.

« Nous pouvons confirmer en se basant sur nos cas actifs. Ce playbook correspond aux cas actifs pour Conti comme nous le voyons actuellement », a déclaré Kremez lors d’une conversation.

« Dans l’ensemble, c’est le Saint Graal de l’opération pentester derrière l’équipe « pentester » de Conti ransomware de A-Z. Les implications sont énormes et permettent aux nouveaux opérateurs de ransomware pentester de mettre à niveau leurs compétences pentester pour ransomware étape par étape. « 

« La fuite montre également la maturité de leur organisation de ransomware et à quel point ils sont sophistiqués, méticuleux et expérimentés tout en ciblant les entreprises du monde entier. »

« Il offre également une multitude d’opportunités de détection, notamment la concentration du groupe sur la persistance AnyDesk et la persistance des agents logiciels de sécurité Atera pour survivre aux détections.

Cette fuite illustre la vulnérabilité des opérations de ransomware en tant que service, car un seul affilié mécontent pourrait conduire à l’exposition d’informations et de ressources soigneusement cultivées utilisées dans les attaques.

Récemment, le gouvernement des États-Unis a annoncé que son programme Rewards for Justice accepte désormais les conseils sur la cyberactivité malveillante étrangère contre les infrastructures critiques américaines, avec une récompense potentielle de 10 millions de dollars pour des informations utiles.

De plus, les récompenses via ce programme peuvent être effectuées de manière anonyme en crypto-monnaie, ce qui pourrait inciter les affiliés à bas salaire à se retourner contre d’autres cybercriminels.

Conti aurait apparemment banni le pentester après avoir appris qu’il détournait des entreprises de leur activité en faisant la promotion d’un autre programme d’affiliation non identifié.

Après avoir été banni, l’affilié a divulgué le matériel de formation et les outils de Conti en guise de vengeance.

N’oubliez pas de jeter un coup d’œil à nos bons plans.

Laisser un commentaire