Программа-вымогатель Conti — одна из угроз, которая в прошлом году вызвала серьезную проблему в мире. Его первые образцы были обнаружены десять месяцев назад. Эта вредоносная программа известна прежде всего своей скоростью обновления, способностью быстро шифровать систему и функцией автоматического распространения. Хакеры, стоящие за Conti, выпустили три версии этого вредоносного ПО с момента его появления в мае 2020 года, повышая его эффективность с каждым новым вариантом.
Атаки на основе Conti, такие как Netwalker и Sodinokibi, используют тактику двойного вымогательства. Помимо требования выкупа за ключ дешифрования, злоумышленники со временем удваивают эту сумму, раскрывая небольшой объем украденных данных и угрожая раскрыть еще больше информации, если выкуп не будет уплачен.
Программа-вымогатель также использует технику многопоточности для быстрого распространения по сети, что затрудняет остановку.
Активность Conti в последнее время
Компания по обеспечению безопасности Coveware, которая публикует ежеквартальные отчеты о программах-вымогателях, в своем отчете за третий квартал 2020 года поставила Conti на 6-е место по активности.
Хакеры могут использовать Conti по модели «вымогатель как услуга». Распространителем вредоносного ПО является банда Trickbot. Новая программа-вымогатель заменила Ryuk и стала излюбленным орудием преступников для выкупа. Мы видим, что рынок кибер-банд также регулируется некоторыми законами и что создатели вредоносных программ совершают транзакции и обмениваются товарами со своими злоумышленниками.
Банда Конти утверждает, что успешно атаковала более 150 организаций и получила выкуп в несколько миллионов долларов. Однако проверить эти утверждения невозможно.
У разработчиков Conti даже есть «страница новостей», где они публикуют небольшой объем украденных данных, а затем угрожают поделиться дополнительными данными, если выкуп не будет уплачен. В декабре банда Конти выпустила два zip-файла, которые, по ее словам, содержали 3 ГБ данных от производителя промышленных микросхем Интернета вещей Advantech.
Недавно Conti добавила Шотландское агентство по охране окружающей среды в список своих жертв. На данный момент Конти раскрыл 20 файлов SEPA, что составляет 7% от того, что он украл во время атаки 24 декабря 2020 года.
Три версии Conti
Впервые Conti был замечен специалистами по кибербезопасности 29 мая 2020 года.
Первая версия включала расширение .conti и автономный исполняемый файл. Вредоносное ПО распространялось через скомпрометированную систему через SMB, когда получало такую команду от сервера Command & Control .
Боковой трафик — необходимый шаг к получению контроля над сетью, и хотя многие злоумышленники используют определенные методы и инструменты для достижения этого, как только они получают доступ к сети, очень немногие реализовали функцию автоматического распространения в самом вымогателе — это так с Conti.
Вторая версия Conti, которая была выпущена 9 октября 2020 года, содержала обновленный запрос выкупа с более подробной информацией и впервые — с угрозой публикации данных, украденных бандой. Технические изменения в этой версии включали расширение, которое менялось с каждой атакой. Программа-вымогатель также использовала меньше вредоносных URL-адресов. В дополнение к автономному исполняемому файлу эта версия также включала загрузчик и файл DLL. Все это во избежание обнаружения сигнатур.
Третья версия, которая была выпущена в следующем месяце, 6 ноября, включает несколько технических изменений, таких как использование большего количества вредоносных URL-адресов и отладчика Python.
Несмотря на то, что зловред обновился, способ распространения не изменился. Первоначальный вектор заражения — это фишинговое письмо, содержащее ссылку на Google Диск, где хранятся полезные данные. Затем груз доставляется через PDF-файл или другой документ, который загружает бэкдор Bazar на устройство жертвы для подключения к серверу C2. Следующие шаги — это разведка, горизонтальное перемещение и извлечение данных. В отчете Cybereason говорится, что когда значительная часть сети заражается бэкдором, Conti только попадает в систему.
Выполнение атаки
Атаки последней версии вредоносной программы Conti начинаются с автономного исполняемого файла или загрузчика, который загружает DLL с сервера C2, а затем запускает ее. Следующие шаги:
— Программа инъекции расшифровывает полезную нагрузку с помощью закодированного ключа и загружает ее в память.
— После загрузки DLL Conti запускает процедуры шифрования и распространения. Программа-вымогатель сканирует сеть на наличие SMB (порт 445). Если он обнаружит какие-либо общие папки, к которым у него есть доступ, он также попытается зашифровать файлы на удаленных компьютерах.
— Для шифрования файлов используется метод быстрой многопоточности, что занимает несколько минут.
— Копия записки о выкупе затем остается в каждой папке, чтобы жертва сразу же заметила ее.
Резюме
Возможно, вымогатели Conti останутся одной из самых распространенных угроз в 2021 году наряду с Ryuk, TrickBot и Emoteta. Принцип работы все время один и тот же, но методы, используемые в новых программах-вымогателях, позволяют работать намного быстрее, избегая обнаружения и самообновления его модулей.