I ricercatori Akamai hanno esaminato e analizzato la documentazione relativa alla gang Conti per capire strumenti e tecniche degli attacchi ransomware. Conti è una gang specializzata in ransomware con un fatturato stimato di 200 milioni di dollari e colpisce le aziende ad alto reddito. Scoperta nel 2020, sembra avere base in Russia ed è considerata il successore del gruppo Ryuk. Il 27 febbraio 2022 parte il profilo Twitter @contileaks che ha iniziato a diffondere documenti interni e log di chat del gruppo. Così come gli indirizzi di alcuni dei loro server interni e il codice sorgente. Probabilmente la fonte è un membro di Conti dopo una disputa sul sostegno pubblico al governo russo durante il conflitto russo-ucraino. Alcuni invece sostengono sia un ricercatore ucraino indipendente.
Processo di onboarding
Conti opera proprio come se fosse un’azienda con un amministratore delegato che deve ottenere profitti, accrescere l’attività e ‘assumere’ nuovi operatori. Adotta un vero e proprio “processo di onboarding” per i nuovi operatori, basato su manuali che descrivono in dettaglio metodologia e modus operandi. Ed è qui che i ricercatori Akamai Security hanno trovato informazioni su come la gang si propaga all’interno delle reti, quali obiettivi seleziona e quali strumenti utilizza. Noto per essere un gruppo di attacco a doppia estorsione che esfiltra e cripta i dati al fine di ottenere denaro. I dati rubati sono utilizzati per costringere una società a pagare il riscatto o venduti al miglior offerente. In questo modo, anche se sono disponibili i backup, le aziende sono spinte a pagare per evitare eventuali danni causati da una fuga di informazioni.
Un vettore automatizzato?
Gli screenshot presi dal sito di Conti dimostrano che il gruppo opera su una sorta di timeline di pubblicazione. Una volta avvisata l’azienda dell’estorsione rilasciano una quantità di dati esfiltrati sempre maggiore in proporzione al tempo che la vittima impiega per pagare il riscatto. Inoltre, sembra che il gruppo non abbia delle linee guida per determinare le cifre dei riscatti.
La gang ransomware Conti
Alcuni log di chat riportano alcune discussioni in merito. Tra i materiali trapelati anche due documenti per gli hacker/membri del gruppo che descrivono la metodologia di attacco alla rete e gli obiettivi di propagazione. I ricercatori Akamai non hanno trovato documentazioni o manuali relativi alle procedure iniziali di accesso, solo progetti per vari crawler di Internet. Questo potrebbe indicare che il vettore è in qualche modo automatizzato. Le linee guida forniscono, infatti, agli operatori le istruzioni necessarie solo dopo aver portato a termine la violazione iniziale.
La metodologia utilizzata
Entrambi i documenti descrivono la stessa metodologia: “raccogliere le credenziali, diffondersi, replicare”. Si presume che un operatore abbia accesso a una macchina in rete e l’obiettivo è quello di iniziare a propagarsi attraverso il network. Cercando di scaricare e decifrare le password o con la forza bruta. Poi l’operatore viene istruito a usare le credenziali sulla macchina successiva, espandendo il raggio d’azione e quindi a ripetere il primo passo. Allo stesso modo, viene ricordato agli operatori che le informazioni saranno crittografate solo quando sarà raggiunto il dominio della rete in modo da massimizzarne l’impatto.
Gli obiettivi di diffusione in rete
Per prima cosa, l’obiettivo di Conti è raggiungere il domain controller (DC). Gli operatori sono stati formati per farsi strada verso il DC attraverso il furto di credenziali e l’espansione. Dal momento che il processo sembra essere in gran parte manuale, questo offre un certo livello di discrezione agli operatori nella scelta degli obiettivi. Una volta trovate le credenziali di amministrazione del dominio, gli operatori avranno ottenuto l’accesso a:
Analisi di Akamai sugli attacchi della gang ransomware Conti
- Log di accesso per la gran parte della rete per analizzare il comportamento degli utenti
- Registri DNS per la maggior parte del dominio, che possono essere utilizzati per dedurre l’utilizzo
- Hash delle password
- Punti focali per il movimento laterale
l toolkit di Conti
Per raggiungere gli obiettivi, Conti ricorre a vari strumenti. Solo crypter, trojan e injector sembrano essere proprietari, per il movimento laterale. La propagazione e l’esfiltrazione sembra invece utilizzare una serie di strumenti che familiari a chiunque sia nei red e blue team. Come Cobalt Strike, Mimikatz e PSExec, per citarne alcuni. Prima di portare scompiglio nella rete, deve entrare e trovare un punto d’appoggio. Sembra che Conti abbia sviluppato vari crawler e scanner, che perlustrano internet alla ricerca di server sfruttabili o violabili. Oltre ai documenti sulla metodologia, ci sono altri manuali con esempi e guide sull’implementazione del movimento laterale. Le tecniche elencate sono accolte da tutti i membri del gruppo e ordinate in base alla quantità di esempi/riferimenti per ciascuno (in ordine di rilevanza).
La gang ransomware Conti
Dai log della chat, gli unici metodi di persistenza che i ricercatori Akamai hanno rilevato sono i task programmati. Gli altri metodi spiegati in uno dei manuali comprendono:chiavi di esecuzione del registro, avvio delle applicazioni di Office, servizi di Windows. I manuali menzionano anche l’installazione di AnyDesk e Atera. Così come la modifica della porta RDP (e l’abilitazione a passare attraverso il firewall di Windows). E questo, presumibilmente, per avere un altro punto di ingresso nel caso in cui la comunicazione venga persa. Oltre agli strumenti esistenti di local privilege escalation (LPE) disponibili in Cobalt Strike, sembra che Conti usi la variante LPE di PrintNightmare. Questa crea nuovi amministratori locali per i beacon che vengono eseguiti come utente abituale.
Raccolta delle credenziali
La maggior parte dei manuali di raccolta delle credenziali fanno riferimento a Mimikatz. Tuttavia l’arsenale completo include:
- Mimikatz: lsadump, dcsync, pth, token injection.
- Zerologon: sfrutta una vulnerabilità netlogon per ottenere una sessione autenticata al controller di dominio e resettare la password krbtgt.
- Kerberoast: per crackare le password degli utenti del servizio Kerberos dai ticket di servizio.
- Zerologon: questa volta usato come modulo di sfruttamento post Cobalt Strike per acquisire una sessione di login al DC per eseguire dcsync.
- Credential stealer: probabilmente uno sviluppo interno. Scansiona il filesystem locale alla ricerca di password utente memorizzate in file di testo e documenti
Come si nasconde
Conti ha vari modi per evitare di essere scoperti. Il principale (e più sorprendente) è assicurarsi che gli strumenti rilasciati non attivino il rilevamento in prima linea. La documentazione include anche la prova che testano strumenti e tecniche con una serie di antivirus. Questo dimostra come i loro dropper e injector non vengano attivati grazie all’utilizzo di macchine locali, su cui girano i sistemi antivirus, e di dyncheck, una piattaforma per caricare e analizzare di campioni.
Come si muove la gang ransomware Conti
Inoltre, Conti ha alcuni manuali sullo spegnimento di Windows Defender, sia manomettendo la policy dell’host sia disattivando il servizio. La backdoor permanente ottiene indirizzi di comando e controllo da metodi di offuscamento, aiutando anche ad eludere il rilevamento: emercoin dns, Google cache e transazioni bitcoin. Il salvataggio dei file su disco è scoraggiato, gli script/lolbin sono il metodo di lavoro preferito. I file salvati su disco dovrebbero essere nascosti usando la steganografia (in immagini o file di certificati) o in un modo che può essere facilmente elencato (registro, flussi di file).
Processi sofisticati
La superficie di attacco è sfaccettata, così la protezione dovrebbe essere a più livelli. Non c’è un’unica soluzione che possa mettere immediatamente al sicuro l’utente. Come si vede nella metodologia di attacco, c’è un processo sofisticato prima che il ransomware venga distribuito, questo permette di rilevarlo e rispondere all’attacco. Conti fa affidamento sugli utenti presenti e sulle loro credenziali per il movimento laterale e l’accesso. Imporre il controllo su chi può accedere a cosa e dove,e separare appositamente gli utenti di livello superiore da chi svolge attività quotidiane, può inibire e rallentare il processo di movimento laterale. Questo metodo permette anche di avere una superficie di rilevamento molto più ampia.
Firewall per applicazioni web
Prima che qualsiasi attacco possa propagarsi all’interno della rete, l’attaccante deve ottenere un punto d’appoggio. Nei casi di Conti, i vettori di accesso iniziale includono il phishing (mail spambot) e lo sfruttamento di servizi Internet (OWA, SQL injection, Apache Tomcat cgi-bin). Nella maggior parte dei casi, un buon firewall per applicazioni web dovrebbe bloccare la maggior parte dei tentativi di ottenere un punto d’appoggio iniziale all’interno della rete. Tenere traccia di quali software sono stati installati e dove può aiutare a rilevare eventuali inserimenti indesiderati. Questo vale per le backdoor Atera e AnyDesk di Conti ma anche per altri attacchi. Inoltre, la gestione delle patch può evitare ulteriori problemi.