🚀 A CloudSEK se torna a primeira empresa de segurança cibernética de origem indiana a receber investimentos da Estado dos EUA fundo
🚀 CloudSEK se torna a primeira empresa indiana de segurança cibernética a fazer parceria com o The Private Office
🚀 O CloudSEK aumentou Rodada da Série B1 de $19 milhões — Potencializando o futuro da cibersegurança preditiva
Voltar
Inteligência do adversário

Afiliado insatisfeito revela técnicas de ataque do Conti Ransomware

Afiliado insatisfeito revela técnicas de ataque do Conti Ransomware
August 7, 2021
min
Tabela de conteúdo
Exemplo H2
Exemplo H2

O grupo tem como alvo ativo o setor de saúde e as redes de primeiros socorros quando o COVID estava no auge. As informações a seguir são obtidas do identificador tor do ransomware Conti.

Com base na atividade anterior do grupo, eles visam extensivamente o setor de varejo e manufatura, concentrando-se principalmente em entidades americanas.

Os resgates são personalizados para as vítimas com base em seu patrimônio líquido. Um resgate muito recente exigido pelo grupo chegou a 25 milhões de dólares.

País

Vítimas

Bahamas

1

Canadá

14

EUA

128

México

1

REINO UNIDO

11

Alemanha

4

Itália

2

Índia

1

Japão

1

Nova Zelândia

1

Austrália

1

A Conti tem um estilo muito distinto na realização das campanhas. Os TTPs perfilados estão listados abaixo:

Técnicas e procedimentos táticos

 

Os seguintes TTPs são mapeados pelo MITRE ATT&CK:

  • Explore o aplicativo voltado para o público T1190
  • Exploração para acesso à credencial T1212
  • Configuração de rede do sistema Discovery T1016
  • Sistema remoto Discovery T1018
  • Varredura de serviço de rede T1046
  • Contas válidas: contas de domínio T1078.002
  • Serviços remotos: SMB/Windows Admin Shares T1021.002
  • Instrumentação de gerenciamento do Windows T1047
  • Injeção de processo: injeção de biblioteca de link dinâmico T1055/001
  • Exfiltração por serviço Web: exfiltração para armazenamento em nuvem T1567.002
  • Dados criptografados para Impact T1486

 

Portas de rede usadas pela Conti

As seguintes portas são usadas para manter a conexão remota 80, 443, 8080 e 8443
Há casos identificados em que os atores usaram a porta 53 para persistência

Análise

O ator compartilhou a infraestrutura interna usada para comprometer as redes alvo. O Cobalt Strike Framework é usado para Comando e Controle. Um servidor C2 executa um aplicativo para enviar comandos do sistema operacional e os executa no sistema comprometido, finalmente obtendo a saída dos comandos para retransmiti-los ao C2, estabelecendo assim controle total sobre o sistema/rede do computador comprometido.

O ator expôs os servidores Cobalt Strike Team, que é um componente muito crítico da infraestrutura do atacante.

 

Um ataque se origina do Cobalt Strike Aggressor/TeamServer, portanto, o vazamento dos IPs compromete a segurança operacional do atacante, pois esses IPs podem ser colocados na lista negra dos firewalls da rede corporativa e de outros sistemas de terminais de segurança. No entanto, a maioria dos atacantes usa redirecionadores ou proxies de IP no meio da rede corporativa de destino e dos servidores de sua equipe para segurança operacional e proteção de seus ativos internos.

Grupos de ransomware e Active Directory

Os grupos de ransomware são cibercriminosos com motivação financeira que têm como alvo empresas para extorquir dinheiro. Grandes organizações em todo o mundo são consumidoras do Microsoft Active Directory para gerenciar seus usuários e recursos de rede. O Active Directory é um serviço de diretório que mapeia usuários/pessoas e ativos de rede, como impressoras/computadores, em grupos lógicos de rede para administração e gerenciamento eficientes. Ele segue uma estrutura hierárquica em que um domínio é uma agregação lógica de recursos na rede com um nó chamado controlador de domínio para controlar os ativos no domínio específico. O usuário responsável pelo controlador de domínio é chamado de administrador de domínio. Uma empresa pode ter vários domínios junto com os administradores de domínio correspondentes.

Os operadores de ransomware comprometem o servidor do controlador de domínio e secretamente obtêm controle sobre a conta do administrador do domínio para realizar atividades maliciosas no domínio. A seguir estão algumas táticas empregadas pelo adversário em uma campanha:

 

— Acesso inicial

  • Força bruta RDP
  • Implantação do farol Cobalt Strike
  • Vulnerabilidade ZeroLogon
  • Engenharia social por meio de documentos armados do Office.

— Escalação de privilégios e movimento lateral

  • Comprometa o LSASS por meio da ferramenta Mimikatz
  • Técnica de Kerberoasting

— Escalação de privilégios

  • Ataques do Bilhete

— Bloqueio e exfiltração de dados

  • Implantação do programa de bloqueio após desativar o AV
  • Programas de arquivamento
  • Rclone

Leia mais Ascensão dos corretores de acesso inicial: agentes de ameaças que facilitam ataques cibernéticos, grupos de APT e campanhas de ransomware

Manuais e ferramentas ofensivas

O ator compartilhou um repositório de ferramentas e manuais, usados pelo grupo, em uma plataforma de compartilhamento de arquivos. Com base em nossa análise, as ferramentas compartilhadas não são de natureza exclusiva, mas as ferramentas padrão de enumeração do Active Directory.

Resumo das ferramentas

  • Manuais básicos do Cobalt Strike que abrangem o uso e a implantação da carga útil
  • Artefatos relacionados ao Cobalt Strike para evasão e movimento lateral.
  • Aplicativo cliente RMM usado para gerenciamento remoto.
  • Manual para despejar segredos do Windows via LSASS usando a ferramenta MIMIKATZ.
  • Comandos de enumeração de sistema/usuário de domínio do Windows no nível do domínio para planejar e realizar ataques.
  • Enumeração de cópias de sombra de volume; Volume Shadow Copy é um mecanismo de backup no Windows.
  • Script PowerUpSQL PowerShell para servidores SQL corporativos de destino.
    Vários scanners e proxies de rede
  • Túnel para RDP usando NGORK
  • Ferramenta Rclone para transferência de arquivos.
  • Técnicas de kerberoasting; É uma técnica específica usada para quebrar o hash de kerberos usando força bruta. Quando o hash for comprometido, a conta do usuário associado será comprometida.
  • Ferramenta de verificação de roteador usada para fazer reconhecimento contra roteadores e empregar técnicas de força bruta para obter acesso não autorizado.
  • Arquivo de objeto Zerologon CVE-2020-1472 Cobalt Strike Beacon que pode abusar de sistemas vulneráveis ao Zerologon.
  • Arquivos de script para obter a ferramenta Armitage e posterior implantação na infraestrutura de destino.
  • Script para instalar várias ferramentas Linux, como tmux [multiplexador de terminal para multitarefa] e scripts padrão de configuração do sistema Linux Kali.
  • Lista de vários canais do Telegram para discussões relacionadas à segurança.
  • Instruções sobre a política de bloqueio do AD aplicada às contas de usuário.
  • Instruções para aprimorar a segurança da operação usando gateways Whonix.
  • Instruções sobre como abusar do Shadow Protect SPX instalado nos sistemas de destino para comprometer backups e outros armazenamentos de dados
  • Manuais para vetores de escalonamento de privilégios padrão.
  • Folha de dicas sobre exploração compartilhada do AD
  • Manual para desativar o Windows Defender via linha de comando
  • Manual para iniciar o armário nas versões Linux com parâmetros de inicialização.
  • Manual para criar novas regras de firewall via linha de comando no Windows.
  • Folhas de dicas do Powershell para realizar várias tarefas no nível do sistema.
  • Manual para vários casos de uso da ferramenta de comando da interface de gerenciamento do Windows para orquestrar ataques em máquinas Windows.
  • Instruções sobre como usar o PuTTY e o FileZilla para agregação e tunelamento de arquivos.
  • Instruções sobre como usar o aplicativo AnyDesk para fins remotos.

 

Senhas comuns usadas em conformidade com a política de senha do AD:

  • Senha1
  • Olá 123
  • senha
  • Bem-vindo 1
  • banco @1
  • formação
  • Senha 123
  • emprego 12345
  • mola
  • food1234
  • junho de 2020
  • julho de 2020
  • 20 de agosto
  • agosto de 2020
  • Verão 20
  • Verão de 2020
  • Junho de 2020!
  • Julho de 2020!
  • 20 de agosto!
  • Agosto de 2020!
  • Verão 20!
  • Verão de 2020!

Recomendações

Os IPs do Team Server do Adversary podem estar na lista negra:

IP

País

ISP

ASN

162,244,80,235

EUA

Data Room Inc

19624

86,93,88,165

Holanda

KPN BV

1136

185,141,63,120

Bulgária

RedCluster Ltd

44901

82,118.21,1

Polônia

ITL LLC

204957

Evite o acesso inicial a qualquer custo. A seguir estão as mitigações básicas:

  • Atualize e corrija ativos voltados para a Internet na rede.
  • Ciente das táticas de engenharia social empregadas por agentes de ameaças por correio.
  • Segregação e isolamento adequados das redes internas.
  • Implante sistemas NGFW/IDPS/XDR/EDR configurados adequadamente para monitorar e impedir atividades maliciosas.
  • Pipeline de monitoramento de sistema adequado para melhor capacidade de registro que inclui Powershell, JScript etc.
  • Um canal de inteligência de ameaças eficiente e eficaz para se manter atualizado sobre TTPs adversários
  • Planos de backup eficazes e redundantes à prova de falhas.
  • Use a autenticação multifator sempre que possível.
  • Desative portas e serviços não utilizados.
  • Imponha uma política de senha eficaz que aborde a complexidade e a rotação de senhas
Nenhum item encontrado.

Blogs relacionados

Este é um texto dentro de um bloco div.
Inteligência do adversário
March 6, 2026
7
min
AI, the Iran-US Conflict, and the Threat to US Critical Infrastructure
Leia mais
Este é um texto dentro de um bloco div.
Inteligência do adversário
March 5, 2026
5
min
A Threat Actor Landscape Assessment of ICS/OT Targeting in the 2026 Iran-US Conflict AND THE SCALE OF THE RISK
Leia mais
Este é um texto dentro de um bloco div.
Inteligência do adversário
March 3, 2026
7
min
Campanha do Trojan RedAlert: falso aplicativo de alerta de emergência espalhado por SMS falsificando o Comando da Frente Interna de Israel
Leia mais