Sophos, leader globale nella sicurezza informatica di prossima generazione, ha pubblicato una serie in 3 parti sulle realtà del Ransomware Conti che descrive in dettaglio lo sviluppo quotidiano di un attacco Conti operato dall’uomo.
La ricerca espone come si è svolto un attacco Conti nell’arco di cinque giorni, dalla compromissione iniziale al ripristino delle operazioni del bersaglio, descrivendo le sue caratteristiche tecniche, comportamenti e consigli di difesa per amministratori IT, ricercatori di sicurezza e professionisti delle operazioni di sicurezza.
Sophos Rapid Response, un team di risposta agli incidenti 24 ore su 24, 7 giorni su 7, ha neutralizzato, contenuto e studiato l’attacco. L’articolo include anche indicatori di compromesso (IoC) e tattiche, tecniche e procedure (TTP) per aiutare i difensori a cercare e prepararsi contro futuri attacchi Conti.
Nell’articolo “A Conti Ransomware Attack Day-by-Day” i ricercatori SophosLabs presentano la sequenza temporale di un attacco Conti ransomware attivo.
L’articolo tecnico “Conti Ransomware: Evasive by Nature” mostra come gli aggressori tentano di ostacolare l’analisi del ransomware distribuendo beacon Cobalt Strike legittimi su macchine compromesse e quindi caricando il codice direttamente in memoria durante i loro attacchi, senza lasciare artefatti che gli investigatori trovino ed esaminino.
Il terzo articolo “What to Expect When You’ve Been Hit with Conti Ransomware” fornisce indicazioni essenziali per gli amministratori IT che devono affrontare l’impatto di un attacco Conti illustrando cosa fare immediatamente e fornendo un elenco di controllo di 12 punti per aiutare gli amministratori IT a indagare sull’attacco.
“Questo è stato un attacco molto veloce e potenzialmente devastante”, ha affermato Peter Mackenzie, manager, Sophos Rapid Response. “Abbiamo scoperto che gli aggressori sono riusciti a compromettere la rete del bersaglio e ad ottenere l’accesso alle credenziali di amministratore del dominio entro 16 minuti dallo sfruttamento di un firewall vulnerabile. In poche ore, gli aggressori stavano distribuendo i beacon Cobalt Strike sui server che avrebbero costituito la spina dorsale dell’attacco ransomware”.
“Negli attacchi in cui gli esseri umani sono ai comandi, gli avversari possono adattarsi e reagire alle mutevoli situazioni in tempo reale. In questo caso, gli aggressori avevano ottenuto l’accesso simultaneo a due server, quindi quando il bersaglio ha rilevato e disabilitato uno di questi – e credeva di aver fermato l’attacco in tempo – gli aggressori hanno semplicemente cambiato e continuato il loro attacco utilizzando il secondo server”.
“Dopo aver esfiltrato i dati, gli aggressori hanno distribuito i beacon Cobalt Strike su quasi 300 dispositivi e hanno lanciato il ransomware. L’obiettivo non aveva altra scelta che chiudere le infrastrutture critiche e le operazioni di lavoro. Il bersaglio ha quindi contattato Sophos e siamo stati in grado di iniziare a neutralizzare e contenere l’attacco entro 45 minuti. In un giorno, l’obiettivo è stato in grado di ripristinare i computer interessati non protetti e riprendere le operazioni”.
Conti è un ransomware di “doppia estorsione” gestito da esseri umani che ruba e minaccia di esporre le informazioni oltre a crittografarle.
