La documentazione trapelata attraverso il profilo Twitter @contileaks permette di scoprire come si propaga all’interno delle reti, quali obiettivi seleziona e quali strumenti utilizza
Conti, gang specializzata in ransomware con un fatturato stimato di quasi 200 milioni di dollari che colpisce le aziende ad alto reddito, è stata scoperta per la prima volta nel 2020 e sembra essere basata in Russia. Considerata come il successore del gruppo Ryuk, è una delle organizzazioni ransomware di maggior successo al mondo. I ricercatori Akamai Security hanno esaminato e analizzato la documentazione trapelata per capire quali sono gli strumenti e le tecniche del gruppo.
Il 27 febbraio 2022 è stato creato il profilo Twitter @contileaks che ha iniziato a diffondere documenti interni e log di chat del gruppo, così come gli indirizzi di alcuni dei loro server interni e il codice sorgente. All’interno della comunità si crede che sia stato un membro di Conti a far trapelare i documenti dopo una disputa sul sostegno pubblico al governo russo durante il conflitto russo-ucraino, ma chi si nasconde dietro l’account Twitter contileaks sostiene invece di essere un ricercatore ucraino indipendente.
La metodologia di attacco di Conti
Come molti dei moderni gruppi di criminali informatici, Conti opera proprio come se fosse un’azienda con un amministratore delegato che deve ottenere profitti, accrescere la propria attività e ‘assumere’ nuovi operatori. Adotta, infatti, un vero e proprio “processo di onboarding” per i nuovi operatori, basato su manuali che descrivono in dettaglio la sua metodologia e il suo modus operandi ed è qui che i ricercatori Akamai Security hanno trovato informazioni importanti su come la gang si propaga all’interno delle reti, quali obiettivi seleziona e quali strumenti utilizza.
È interessante osservare che Conti è noto per essere un gruppo di attacco a doppia estorsione che esfiltra e cripta i dati al fine di ottenere denaro: i dati rubati sono utilizzati per costringere una società a pagare il riscatto o venduti al miglior offerente. In questo modo, anche se sono disponibili i backup, le aziende sono spinte a pagare per evitare eventuali danni che possono essere causati da una fuga di informazioni, metodo reso popolare dal gruppo ransomware Maze che si suppone sia stato chiuso nel 2020 e da cui molti membri sono stati reclutati.
Gli screenshot presi dal sito di Conti dimostrano che il gruppo opera su una sorta di timeline di pubblicazione: una volta avvisata l’azienda dell’estorsione rilasciano una quantità di dati esfiltrati sempre maggiore in proporzione al tempo che la vittima impiega per pagare il riscatto. Inoltre, sembra che il gruppo non abbia delle linee guida per determinare le cifre dei riscatti, alcuni log di chat riportano alcune discussioni in merito.
Tra i vari materiali trapelati ci sono due documenti per gli hacker/membri del gruppo che descrivono la metodologia di attacco alla rete e gli obiettivi di propagazione. I ricercatori Akamai non hanno trovato documentazioni o manuali relativi alle procedure iniziali di accesso, solo progetti per vari crawler di Internet, e questo potrebbe indicare che il vettore è in qualche modo automatizzato. Le linee guida forniscono, infatti, agli operatori le istruzioni necessarie solo dopo aver portato a termine la violazione iniziale.
Entrambi i documenti descrivono la stessa metodologia: “raccogliere le credenziali, diffondersi, replicare”. Si presume che un operatore abbia accesso a una macchina in rete e l’obiettivo è quello di iniziare a propagarsi attraverso il network, cercando di scaricare e decifrare le password o con la forza bruta. Poi l’operatore viene istruito a usare le credenziali sulla macchina successiva, espandendo il raggio d’azione e quindi a ripetere il primo passo. Allo stesso modo, viene ricordato agli operatori che le informazioni saranno crittografate solo quando sarà raggiunto il dominio della rete in modo da massimizzarne l’impatto.
Obiettivi di diffusione in rete
Per prima cosa, l’obiettivo di Conti è raggiungere il domain controller (DC). Gli operatori sono stati formati per farsi strada verso il DC attraverso il furto di credenziali e l’espansione. Dal momento che il processo sembra essere in gran parte manuale, questo offre un certo livello di discrezione agli operatori nella scelta degli obiettivi. Una volta trovate le credenziali di amministrazione del dominio, gli operatori avranno ottenuto l’accesso a una serie di risorse critiche:
⦁ Log di accesso per la gran parte della rete per analizzare il comportamento degli utenti
⦁ Registri DNS per la maggior parte del dominio, che possono essere utilizzati per dedurre l’utilizzo
⦁ Hash delle password
⦁ Punti focali per il movimento laterale
Questo focus sul DC rafforza l’idea che la fase di propagazione in rete sia cruciale per l’attacco. Dal DC, gli aggressori possono estrarre la maggior parte (se non tutte) le credenziali di cui hanno bisogno per accedere all’intera rete. Inoltre, poiché la maggior parte della configurazione del dominio è solitamente memorizzata lì, di solito ottengono molte informazioni sulla rete stessa e sui suoi ‘tesori’ (mail, elenchi di indirizzi, informazioni di contatto, banche dati, codice sorgente, informazioni contabili, documenti di progettazione, password/credenziali per altre reti, portafogli digitali).
l toolkit di Conti
Per raggiungere i suoi obiettivi, Conti ricorre a vari strumenti, la maggior parte dei quali non è di sua produzione. Solo crypter, trojan e injector sembrano essere proprietari, per il movimento laterale, la propagazione e l’esfiltrazione sembra invece utilizzare una serie di strumenti che dovrebbero essere familiari a chiunque sia nei red e blue team: Cobalt Strike, Mimikatz e PSExec, per citarne alcuni.
Accesso iniziale
Prima di portare scompiglio nella rete, deve entrare e trovare un punto d’appoggio. Sembra che Conti abbia sviluppato vari crawler e scanner, che perlustrano internet alla ricerca di server sfruttabili o violabili, garantendo l’accesso iniziale a una rete vittima o contrassegnandoli come violabili.
Movimento laterale
Oltre ai documenti sulla metodologia, ci sono altri manuali con esempi concreti e guide sull’implementazione del movimento laterale – le tecniche elencate di seguito sono state raccolte da tutti i membri del gruppo e ordinate in base alla quantità di esempi/riferimenti per ciascuno (in ordine di rilevanza):
⦁ Remote Windows Management Instrumentation (⦁ WMI) usata per lanciare payload da remoto usando /node:.. process call create (è interessante notare che a volte viene usato per attivare effettivamente un processo ⦁ BITS al fine di scaricare il malware ospitato in remoto o su una condivisione violata)
⦁ PSExec – sia lo strumento Sysinternals stesso che la sua implementazione Cobalt Strike sono utilizzati per l’esecuzione remota di payload
⦁ Remote scheduled task – utilizzando il comando line utility SCHTASKS con il flag /s per creare un task remoto ed eseguire un payload abbandonato
⦁ WinRM – questo è il metodo di esecuzione del codice integrato in Cobalt Strike
EternalBlue – sfruttando una vulnerabilità di esecuzione di codice remoto in SMB
BlueKeep – sfrutta una vulnerabilità di esecuzione di codice remoto in RDP
Persistenza e backdoor
Dai log della chat, gli unici metodi di persistenza che i ricercatori Akamai hanno rilevato sono i task programmati. Gli altri metodi spiegati in uno dei manuali comprendono: chiavi di esecuzione del registro, avvio delle applicazioni di Office, servizi di Windows, opzioni di esecuzione dei file immagine, sottoscrizione di eventi WMI, DLL AppInit, Winlogon userInit, pacchetti di notifica LSASS, Netsh helper DLL. Inoltre, i manuali menzionano anche l’installazione di AnyDesk e Atera, così come la modifica della porta RDP (e l’abilitazione a passare attraverso il firewall di Windows) – tutto presumibilmente per avere un altro punto di ingresso nel caso in cui la comunicazione venga persa.
Privilege escalation
Oltre agli strumenti esistenti di local privilege escalation (LPE) disponibili in Cobalt Strike, sembra che Conti usi la variante LPE di PrintNightmare per creare nuovi amministratori locali per i beacon che vengono eseguiti come utente abituale.
Raccolta delle credenziali
La maggior parte dei manuali di raccolta delle credenziali fanno riferimento a Mimikatz, ma l’arsenale completo include:
⦁ Mimikatz: ⦁ lsadump, ⦁ dcsync, ⦁ pth, ⦁ token injection
⦁ Zerologon – sfrutta una vulnerabilità netlogon per ottenere una sessione autenticata al controller di dominio e resettare la password krbtgt
⦁ Kerberoast – usato per crackare le password degli utenti del servizio Kerberos dai ticket di servizio
⦁ Zerologon – questa volta usato come modulo di sfruttamento post Cobalt Strike per acquisire una sessione di login al DC per eseguire dcsync
⦁ Credential stealer – probabilmente uno sviluppo interno; scansiona il filesystem locale alla ricerca di password utente memorizzate in file di testo e documenti
Elusione delle difese
Conti ha vari modi per evitare di essere scoperti. Il principale (e più sorprendente) è assicurarsi che gli strumenti rilasciati non attivino il rilevamento in prima linea. La documentazione include anche la prova che testano strumenti e tecniche con una serie di antivirus, dimostrando come i loro dropper e injector non li attivino grazie all’utilizzo di macchine locali, su cui girano i sistemi antivirus, e di dyncheck, una piattaforma per caricare e analizzare di campioni (simile a VirusTotal, anche se non sembra essere accessibile al momento). Inoltre, Conti ha alcuni manuali sullo spegnimento di Windows Defender, sia manomettendo la policy dell’host sia disattivando il servizio. La backdoor permanente ottiene indirizzi di comando e controllo da metodi di offuscamento, aiutando anche ad eludere il rilevamento: emercoin dns, Google cache e transazioni bitcoin.
Il salvataggio dei file su disco è scoraggiato, gli script/lolbin sono il metodo di lavoro preferito. I file salvati su disco dovrebbero essere nascosti usando la steganografia (in immagini o file di certificati) o in un modo che può essere facilmente elencato (registro, flussi di file).
Mitigazioni
Dato che la superficie di attacco è sfaccettata, anche la protezione dovrebbe essere a più livelli: non c’è un’unica soluzione che possa mettere immediatamente al sicuro l’utente. Come si vede nella metodologia di attacco, c’è un processo sofisticato prima che il ransomware venga distribuito, questo permette di rilevarlo e rispondere all’attacco.
Controllo degli accessi e ZeroTrust
Conti fa affidamento sugli utenti presenti e sulle loro credenziali per il movimento laterale e l’accesso. Imporre il controllo su chi può accedere a cosa e dove, e separare appositamente gli utenti di livello superiore da chi svolge attività quotidiane, può inibire e rallentare notevolmente il processo di movimento laterale. Questo metodo permette anche di avere una superficie di rilevamento molto più ampia.
Segmentazione
Oltre a controllare l’accesso degli utenti, è possibile monitorare anche i percorsi di comunicazione. Disabilitando i protocolli che possono essere abusati per il movimento laterale (RPC, RDP, WinRM, SSH, ecc.) tra gli endpoint utente, limitando l’accesso alle condivisioni di file (o disabilitandole del tutto su qualsiasi cosa che non sia un fileserver), e limitando l’accesso ai database e ai server di backup si può ridurre notevolmente la superficie di attacco della rete.
Per una maggiore granularità, i metodi di movimento laterale che si basano su RPC (come WMI remoto, attività programmate remote e psexec) possono essere controllati anche a livello di sistema operativo, utilizzando filtri RPC.
Firewall per applicazioni web
Prima che qualsiasi attacco possa propagarsi all’interno della rete, l’attaccante deve ottenere un punto d’appoggio. Nei casi di Conti, i vettori di accesso iniziale includono il phishing (mail spambot) e lo sfruttamento di servizi Internet (OWA, SQL injection, Apache Tomcat cgi-bin). Nella maggior parte dei casi, un buon firewall per applicazioni web dovrebbe bloccare la maggior parte dei tentativi di ottenere un punto d’appoggio iniziale all’interno della rete.
Inventario del software e gestione delle patch
Tenere traccia di quali software sono stati installati e dove può aiutare a rilevare eventuali inserimenti indesiderati. Questo vale per le backdoor Atera e AnyDesk di Conti ma anche per altri attacchi. Inoltre, la gestione delle patch può evitare ulteriori problemi.
Rilevamento del malware – EDR/AV
Questa è l’ultima linea di difesa sulle macchine in rete. Una buona (e aggiornata) soluzione di endpoint detection and response (EDR) o antivirus (AV) può aiutare a rilevare e bloccare gli strumenti utilizzati durante l’attacco. Oggi alcuni EDR dichiarano anche di essere in grado di rilevare e prevenire il ransomware euristicamente, quando inizia a criptare il vostro host.
Informazioni su Akamai
Akamai potenzia e protegge la vita online. Le principali aziende al mondo scelgono Akamai per creare, offrire e proteggere le loro experience digitali, aiutando miliardi di persone a vivere, lavorare e giocare ogni giorno. Con la piattaforma di computing più distribuita al mondo, dal cloud all’edge, siamo in grado di semplificare lo sviluppo e l’esecuzione di applicazioni per i nostri clienti, avvicinando le experience agli utenti e allontanando le minacce. Per scoprire ulteriori informazioni sulla sicurezza, sull’elaborazione e sulla delivery delle soluzioni di Akamai, potete visitare l’indirizzo akamai.com/it o akamai.com/it/blog e seguire Akamai Technologies su Twitter e LinkedIn
