🚀 A CloudSEK se torna a primeira empresa de segurança cibernética de origem indiana a receber investimentos da Estado dos EUA fundo
Leia mais
O Conti é um ransomware operado por humanos e foi detectado pela primeira vez em dezembro de 2019, em ataques não relacionados. Os pesquisadores consideram o Conti um substituto para o cripto-malware Ryuk. O novo software malicioso é notável por seus recursos avançados, como criptografia rápida, anti-análise e execução direta.Semelhante a outras variedades de ransomware, o Conti tem recursos de multithreading - 32 threads de CPU simultâneos para criptografia - o que o torna mais rápido. Esse ransomware abusa da funcionalidade do Gerenciador de Reinicialização do Windows ao fechar aplicativos que bloqueiam determinados arquivos. O Conti então desativa os serviços do Windows responsáveis por soluções de segurança, backup, banco de dados e e-mail, o que permite criptografar esses arquivos. O Conti também permite executar argumentos de linha de comando para criptografar diretamente discos rígidos locais, compartilhamentos de dados e rede e até mesmo endereços IP específicos da escolha dos agentes da ameaça. Depois que o ransomware assume o controle, ele exclui as cópias do Windows Shadow Volume para evitar a recuperação dos arquivos no sistema local. Conti anexa a extensão '.CONTI' aos arquivos criptografados e deixa uma nota de resgate em cada pasta. Para criptografar os dados, o ransomware usa a chave de criptografia AES-256 para cada arquivo, que é novamente criptografada com uma chave de criptografia pública RSA-4096 incluída, exclusiva para cada vítima.O ransomware Conti tem como alvo os seguintes setores:
[/vc_wp_text] [vc_wp_text]
- Instituições financeiras e educacionais
- Organizações privadas
- Agências governamentais
- Assistência médica
- Negócios corporativos
- Pequenas e médias empresas
Estrutura MITRE ATT&CK
T1204 — Execução do usuário: link malicioso
O adversário solicita que os usuários cliquem em um link malicioso, o que, por sua vez, leva à exploração das vulnerabilidades do navegador/aplicativo. Da mesma forma, links que redirecionam para arquivos maliciosos para download também são usados para implantar o Conti.T1486 — Dados criptografados para causar impacto
O adversário poderia potencialmente interromper a acessibilidade ao sistema da vítima criptografando seus dados. Eles podem tentar tornar os dados armazenados impenetráveis criptografando arquivos ou dados nas unidades locais e remotas, impedindo o acesso à chave de decodificação.[/vc_wp_text] [vc_wp_text]Indicadores de compromisso
Nomes de arquivos associados
CONTI_README.txtTexto da nota de resgate
Endereços de e-mail associados
[email protected] [email protected]Hashes
- 596f1fdb5a3de40cccfe1d8183692928b94b8afb [SHA1]
- B7b5e1253710d8927cbe07d52d2d2e10 [MD5]
- EAE876886f19ba384f55778634a35a1d975414e83f22f6111e3e792f706301fe [SHA256]
- DA778748ef41a4482da767de90e7ae2a8befa41e [SHA1]
- 61653b3cd1a290bbc531181edec807b20e263599aa6a2908dc259b867ec98297 [SHA256]
- 67f9404df22c6b1e82807f5c527805083f40b70b9dac6bc27c2583b70de17390 [SHA256]
- 6b1b4bbff59456dfaa3307a20171fd7394f49a5f6d1b3cd59392ba41e4881878 [SHA256]
- 749c4c343978b9f236838034f868dac937fdfd9af31a6e5dd05b993a87d51276 [SHA256]
- 895007b045448dfa8f6c9ee22f76f416f3f18095a063f5e73a4137bcccc0dc9a [SHA256]
- 196B1E6992650C003F550404F6B1109F [MD5]
- FF177BD454A19D15B9050448DA3298C4 [MD5]
Amostra de metadados para o ransomware Conti
[/vc_wp_text] [vc_wp_text]
Contramedidas e melhores práticas de prevenção:
- Os usuários são aconselhados a desativar o Remote Desktop Protocol (RDP) se não estiverem em uso. Além disso, se for necessário, uma conexão RDP segura deve ser configurada atrás do firewall com políticas apropriadas de vinculação e controle de acesso.
- Todos os sistemas operacionais e aplicativos devem ser atualizados regularmente. O patch virtual pode ser feito para proteger sistemas e redes legados. Isso evita que os cibercriminosos tenham acesso fácil a qualquer sistema por meio das vulnerabilidades existentes em aplicativos e softwares desatualizados. Evite instalar atualizações/patches de fontes não autorizadas.
- Restrinja a execução do PowerShell /WSCRIPT em um ambiente corporativo. Garanta a instalação e o uso da versão mais recente do PowerShell, com o registro aprimorado ativado. O registro e a transcrição de blocos de scripts também devem ser permitidos. Os registros associados a isso devem ser enviados para um repositório de registros centralizado para monitoramento e análise.
- Estabeleça uma Estrutura de Política de Remetente (SPF) para seu domínio para evitar spam detectando a falsificação de e-mail que, por sua vez, evita ataques de ransomware.
- A lista branca de aplicativos/implementação estrita de políticas de restrição de software (SRP) bloqueia a execução de binários a partir dos caminhos %APPDATA% e %TEMP%. Geralmente, amostras de ransomware são retiradas e executadas a partir desses locais.
- Não abra anexos nem clique em URLs em e-mails não solicitados, mesmo que sejam de alguém da sua lista de contatos e pareçam benignos. Se o URL parecer genuíno, em vez de clicar nele, use seu navegador para acessar essa página específica.
- Bloqueie os anexos dos seguintes tipos de arquivo: exe|pif|tmp|url|vb|vbe|scr|reg|cer|pst|cmd|com|bat|dll|dat|hlp|hta|js|wsf
- Considere criptografar dados confidenciais, já que o ransomware geralmente tem como alvo tipos de arquivos comuns.
- Faça backup de informações críticas regularmente para limitar o impacto da perda de dados ou do sistema e ajudar a acelerar o processo de recuperação. Idealmente, os dados confidenciais devem ser mantidos em um dispositivo separado e os backups devem ser armazenados offline.
- Segmentação de rede e segregação em zonas de segurança para ajudar a proteger informações confidenciais e serviços essenciais. É preciso separar as redes administrativas dos processos de negócios com controles físicos e redes locais virtuais.
- Instale bloqueadores de anúncios para combater kits de exploração, como o Fallout, que são distribuídos por meio de publicidade maliciosa.
