O infame grupo de ransomware conhecido como Conti continuou seu ataque contra entidades, apesar de sofrer um enorme vazamento de dados no início deste ano, de acordo com uma nova pesquisa.
Conti, atribuído a um agente de ameaças baseado na Rússia conhecido como Gold Ulrick, é a segunda variedade de malware mais prevalente no cenário de ransomware, respondendo por 19% de todos os ataques durante o período de três meses entre outubro e dezembro de 2021.
Um dos grupos de ransomware mais prolíficos do ano passado, como LockBit 2.0, PYSA e Hive, Conti bloqueou as redes de hospitais, empresas e agências governamentais, enquanto recebia um pagamento de resgate em troca de compartilhar a chave de descriptografia como parte de seu esquema de nome e vergonha.
Mas depois que o cartel de criminosos cibernéticos saiu em apoio à Rússia por sua invasão da Ucrânia em fevereiro, um pesquisador de segurança ucraniano anônimo sob o nome de Twitter ContiLeaks começou a vazar o código-fonte, bem como conversas privadas entre seus membros, oferecendo uma visão sem precedentes sobre o grupo. funcionamento.
“Os bate-papos revelam um ecossistema maduro de crimes cibernéticos em vários grupos de ameaças com colaboração e suporte frequentes”, disse a Secureworks em um relatório publicado em março. “Membros de grupos anteriormente considerados distintos colaboraram e frequentemente se comunicaram com membros de outros grupos de ameaças.”
Os grupos, além de Gold Ulrick, incluem outros atores de crimes cibernéticos motivados financeiramente, como Gold Blackburn (TrickBot , BazarLoader, Anchor e Diavol), Gold Crestwood (Emotet), Gold Mystic ( LockBit ) e Gold Swathmore (IcedID).
De fato, o monitoramento técnico das campanhas Emotet da Intel 471 entre 25 de dezembro de 2021 e 25 de março de 2022, identificou que mais de uma dúzia de alvos de ransomware Conti foram, de fato, vítimas de ataques de malspam Emotet, destacando como as duas operações estão interligadas.
Dito isto, os vazamentos não parecem ter abafado as atividades do sindicato, com o número de vítimas de Conti postadas em março subindo para o segundo maior total mensal desde janeiro de 2021, de acordo com a empresa de segurança cibernética com sede em Atlanta.
Além disso, diz-se que o grupo adicionou 11 vítimas nos primeiros quatro dias de abril, mesmo que os autores do malware tenham trabalhado persistentemente para “evoluir seu ransomware, métodos de intrusão e abordagens” em resposta à divulgação pública de seu arsenal.
As descobertas também foram corroboradas pelo NCC Group no final do mês passado, que disse que “as operadoras da Conti continuam seus negócios como de costume, comprometendo redes, exfiltrando dados e, finalmente, implantando seu ransomware”.
Uma teia de conexões entre Conti e Karakurt
O desenvolvimento ocorre quando sobreposições financeiras e táticas foram descobertas entre a Conti e o grupo de extorsão de dados Karakurt com base em informações publicadas durante a saga ContiLeaks, revelando o que parece ser uma extensão do modelo de negócios de ransomware como serviço (RaaS).
As descobertas são significativas, principalmente porque destacam a crescente rede de interconexões no ecossistema de crimes cibernéticos, sem mencionar as táticas agressivas de expansão e entrega de Conti, como reviver o Emotet e incluir o botnet TrickBot no cartel de ransomware.
Uma análise das transações de blockchain associadas a endereços de criptomoedas pertencentes a Karakurt mostrou que “carteiras Karakurt enviando quantias substanciais de criptomoeda para carteiras Conti”, de acordo com uma investigação conjunta de pesquisadores da Arctic Wolf e Chainalysis.
A hospedagem de carteira compartilhada também envolve o agora extinto ransomware Diavol da gangue TrickBot, com um “endereço de extorsão Diavol hospedado por uma carteira contendo endereços usados em ataques de ransomware Conti”, indicando que Diavol está sendo implantado pelo mesmo conjunto de atores por trás Conti e Karakurt.
Um exame forense adicional de um cliente não identificado que foi atingido por uma onda subsequente de ataques de extorsão após uma infecção por ransomware Conti revelou que o segundo grupo usou o mesmo backdoor Cobalt Strike deixado para trás por Conti, implicando uma forte associação entre atores de crimes cibernéticos aparentemente díspares.
“Se Karakurt é um trabalho paralelo elaborado por agentes da Conti e Diavol ou se esta é uma empresa sancionada pela organização geral, ainda não se sabe”, disse Arctic Wolf.
“Essa conexão talvez explique por que Karakurt está sobrevivendo e prosperando, apesar de alguns de seus concorrentes apenas de exfiltração estarem morrendo”, disseram os pesquisadores, acrescentando: “Ou, alternativamente, talvez este tenha sido o teste de uma diversificação estratégica autorizada pelo grupo principal.”
Fonte: The Hacker News
Descubra mais sobre DCiber
Assine para receber os posts mais recentes por e-mail.
