Προέκυψαν λεπτομέρειες σχετικά με τον τρόπο με τον οποίο η συμμορία ransomware Conti παραβίασε την κυβέρνηση της Κόστα Ρίκα, δείχνοντας την ακρίβεια της επίθεσης και την ταχύτητα μετάβασης από την αρχική πρόσβαση στο τελικό στάδιο της κρυπτογράφησης συσκευών.

Αυτή είναι η τελευταία επίθεση από τη λειτουργία Conti ransomware πριν η ομάδα μεταβεί σε μια διαφορετική μορφή οργάνωσης που βασίζεται σε πολλαπλά κελιά που συνεργάζονται με άλλες συμμορίες.

5ήμερη εισβολή του Conti στην κυβέρνηση της Κόστα Ρίκα

Η επιχείρηση ransomware Conti ξεκίνησε το 2020 για να αντικαταστήσει τον Ryuk και γρήγορα έγινε δυσάρεστη μετά από επιθέσεις σε θύματα τόσο στον ιδιωτικό όσο και στον δημόσιο τομέα, συμπεριλαμβανομένων των τοπικών κυβερνήσεων στις ΗΠΑ, των σχολείων και των εθνικών συστημάτων υγειονομικής περίθαλψης.

Στις 11 Απριλίου 2022, η Conti ξεκίνησε την τελευταία της εισβολή με αυτό το σήμα, αφού απέκτησε αρχική πρόσβαση στο δίκτυο της κυβέρνησης της Κόστα Ρίκα και συμμετείχε σε αναγνωριστική δραστηριότητα.

Μια αναφορά από την εταιρεία πληροφοριών στον κυβερνοχώρο Advanced Intelligence (AdvIntel) περιγράφει λεπτομερώς τα βήματα των Ρώσων χάκερ από το αρχικό βήμα μέχρι τη διείσδυση 672 GB δεδομένων στις 15 Απριλίου και την εκτέλεση του ransomware.

Το σημείο εισόδου του παράγοντα απειλής ήταν ένα σύστημα που ανήκε στο Υπουργείο Οικονομικών της Κόστα Ρίκα, στο οποίο ένα μέλος της ομάδας που αναφέρεται ως «MemberX» απέκτησε πρόσβαση μέσω σύνδεσης VPN χρησιμοποιώντας παραβιασμένα διαπιστευτήρια.

Ο Διευθύνων Σύμβουλος της Advanced Intelligence Vitali Kremez είπε στο BleepingComputer ότι τα παραβιασμένα διαπιστευτήρια ελήφθησαν από κακόβουλο λογισμικό που ήταν εγκατεστημένο στην αρχική συσκευή που είχε παραβιαστεί στο δίκτυο του θύματος. 

Περισσότερες από 10 συνεδρίες φάρου Cobalt Strike οργανώθηκαν στα πρώτα στάδια της επίθεσης, αναφέρουν οι ερευνητές της AdvIntel στην έκθεση.