Η Υπηρεσία Κυβερνοασφάλειας και Ασφάλειας Υποδομής των ΗΠΑ (CISA) ενημέρωσε την ειδοποίηση για το Conti ransomware με δείκτες συμβιβασμού (IoCs) που αποτελούνται από σχεδόν 100 ονόματα τομέα που χρησιμοποιούνται σε κακόβουλες λειτουργίες.
Αρχικά δημοσιεύτηκε στις 22 Σεπτεμβρίου 2021 και περιλαμβάνει λεπτομέρειες που παρατηρήθηκαν από την CISA και το Ομοσπονδιακό Γραφείο Ερευνών (FBI) σε επιθέσεις Conti ransomware που στοχεύουν οργανισμούς στις ΗΠΑ.
Τομείς Conti IoC
Εσωτερικές λεπτομέρειες από τη λειτουργία ransomware Conti άρχισαν να διαρρέουν στα τέλη Φεβρουαρίου αφού η συμμορία ανακοίνωσε δημόσια ότι τάσσεται με τη Ρωσία για την εισβολή στην Ουκρανία.
Η διαρροή προήλθε από έναν Ουκρανό ερευνητή, ο οποίος αρχικά δημοσίευσε προσωπικά μηνύματα που αντάλλαξαν τα μέλη της συμμορίας και στη συνέχεια κυκλοφόρησε τον πηγαίο κώδικα για το ransomware, τα διοικητικά πάνελ και άλλα εργαλεία.
Η κρυφή μνήμη δεδομένων περιελάμβανε επίσης τομείς που χρησιμοποιούνται για συμβιβασμούς με το BazarBackdoor, το κακόβουλο λογισμικό που χρησιμοποιείται για την αρχική πρόσβαση σε δίκτυα στόχων υψηλής αξίας.
Η CISA λέει ότι ο παράγοντας απειλών Conti έχει χτυπήσει περισσότερους από 1.000 οργανισμούς σε όλο τον κόσμο, με τους πιο διαδεδομένους φορείς επίθεσης να είναι το κακόβουλο λογισμικό TrickBot και τα φάροι Cobalt Strike.
Η υπηρεσία κυκλοφόρησε σήμερα μια παρτίδα 98 ονομάτων τομέα που μοιράζονται «χαρακτηριστικά εγγραφής και ονομασίας παρόμοια» με εκείνα που χρησιμοποιούνται στις επιθέσεις ransomware Conti από ομάδες που διανέμουν το κακόβουλο λογισμικό.
Το πρακτορείο σημειώνει ότι ενώ οι τομείς έχουν χρησιμοποιηθεί σε κακόβουλες λειτουργίες, ορισμένοι από αυτούς «ενδέχεται να έχουν εγκαταλειφθεί ή να έχουν παρόμοια χαρακτηριστικά συμπτωματικά».
Η παραπάνω λίστα τομέων που σχετίζονται με επιθέσεις ransomware Conti φαίνεται να είναι διαφορετική από τις εκατοντάδες από τις οποίες διέρρευσε ο Ουκρανός ερευνητής BazarBackdoor.
Παρά την ανεπιθύμητη προσοχή που έλαβε πρόσφατα η Conti λόγω της έκθεσης των εσωτερικών συνομιλιών και των εργαλείων της, η συμμορία δεν τράβηξε φρένο στη δραστηριότητά της.
Από τις αρχές Μαρτίου, η Conti απαριθμούσε στον ιστότοπό της περισσότερα από δύο δωδεκάδες θύματα στις ΗΠΑ, Καναδά, Γερμανία, Ελβετία, Ηνωμένο Βασίλειο, Ιταλία, Σερβία και Σαουδική Αραβία.
