Senza LineaSenza Linea
Aa
  • Home
  • Qui Napoli
    • Eventi
    • Storia & Curiosità
  • Sport
    • Calcio Napoli
    • Migliori siti scommesse
  • Cucina
    • #Tengofame
  • Arte & Spettacolo
    • Musica
    • Arte
    • Cinema
    • Libri
      • Editoria
    • Serie Tv
    • Teatro
  • Nerdangolo
    • CosPlay
    • Fumetti
    • Giochi e modellismo
    • Hi Tech
    • Animazione
    • Videogiochi
  • LGBT
  • La tana del Bianconiglio
  • Salute & Benessere
Cerca
Reading: L’analisi Akamai della documentazione della gang ransomware Conti
Share
Aa
Senza LineaSenza Linea
  • Home
  • Qui Napoli
  • Sport
  • Cucina
  • Arte & Spettacolo
  • Nerdangolo
  • LGBT
  • La tana del Bianconiglio
  • Salute & Benessere
Cerca
  • Home
  • Qui Napoli
    • Eventi
    • Storia & Curiosità
  • Sport
    • Calcio Napoli
    • Migliori siti scommesse
  • Cucina
    • #Tengofame
  • Arte & Spettacolo
    • Musica
    • Arte
    • Cinema
    • Libri
    • Serie Tv
    • Teatro
  • Nerdangolo
    • CosPlay
    • Fumetti
    • Giochi e modellismo
    • Hi Tech
    • Animazione
    • Videogiochi
  • LGBT
  • La tana del Bianconiglio
  • Salute & Benessere
Follow US
  • Disclaimer
  • Privacy
  • Buy This Theme!
  • Advertisement
  • Contact us
© 2022 Senzalinea testata giornalistica registrata presso il Tribunale di Napoli n. 57 del 11/11/2015.Direttore Responsabile Enrico Pentonieri
Hi TechNerdangolo

L’analisi Akamai della documentazione della gang ransomware Conti

Danilo Battista
Danilo Battista 1 anno fa
Share
16 Min Lettura
SHARE

La documentazione trapelata attraverso il profilo Twitter @contileaks permette di scoprire come si propaga all’interno delle reti, quali obiettivi seleziona e quali strumenti utilizza

Conti, gang specializzata in ransomware con un fatturato stimato di quasi 200 milioni di dollari che colpisce le aziende ad alto reddito, è stata scoperta per la prima volta nel 2020 e sembra essere basata in Russia. Considerata come il successore del gruppo Ryuk, è una delle organizzazioni ransomware di maggior successo al mondo. I ricercatori Akamai Security hanno esaminato e analizzato la documentazione trapelata per capire quali sono gli strumenti e le tecniche del gruppo.

Il 27 febbraio 2022 è stato creato il profilo Twitter @contileaks che ha iniziato a diffondere documenti interni e log di chat del gruppo, così come gli indirizzi di alcuni dei loro server interni e il codice sorgente. All’interno della comunità si crede che sia stato un membro di Conti a far trapelare i documenti dopo una disputa sul sostegno pubblico al governo russo durante il conflitto russo-ucraino, ma chi si nasconde dietro l’account Twitter contileaks sostiene invece di essere un ricercatore ucraino indipendente.

La metodologia di attacco di Conti
Come molti dei moderni gruppi di criminali informatici, Conti opera proprio come se fosse un’azienda con un amministratore delegato che deve ottenere profitti, accrescere la propria attività e ‘assumere’ nuovi operatori. Adotta, infatti, un vero e proprio “processo di onboarding” per i nuovi operatori, basato su manuali che descrivono in dettaglio la sua metodologia e il suo modus operandi ed è qui che i ricercatori Akamai Security hanno trovato informazioni importanti su come la gang si propaga all’interno delle reti, quali obiettivi seleziona e quali strumenti utilizza.

È interessante osservare che Conti è noto per essere un gruppo di attacco a doppia estorsione che esfiltra e cripta i dati al fine di ottenere denaro: i dati rubati sono utilizzati per costringere una società a pagare il riscatto o venduti al miglior offerente. In questo modo, anche se sono disponibili i backup, le aziende sono spinte a pagare per evitare eventuali danni che possono essere causati da una fuga di informazioni, metodo reso popolare dal gruppo ransomware Maze che si suppone sia stato chiuso nel 2020 e da cui molti membri sono stati reclutati.

Gli screenshot presi dal sito di Conti dimostrano che il gruppo opera su una sorta di timeline di pubblicazione: una volta avvisata l’azienda dell’estorsione rilasciano una quantità di dati esfiltrati sempre maggiore in proporzione al tempo che la vittima impiega per pagare il riscatto. Inoltre, sembra che il gruppo non abbia delle linee guida per determinare le cifre dei riscatti, alcuni log di chat riportano alcune discussioni in merito.

Tra i vari materiali trapelati ci sono due documenti per gli hacker/membri del gruppo che descrivono la metodologia di attacco alla rete e gli obiettivi di propagazione. I ricercatori Akamai non hanno trovato documentazioni o manuali relativi alle procedure iniziali di accesso, solo progetti per vari crawler di Internet, e questo potrebbe indicare che il vettore è in qualche modo automatizzato. Le linee guida forniscono, infatti, agli operatori le istruzioni necessarie solo dopo aver portato a termine la violazione iniziale.

Entrambi i documenti descrivono la stessa metodologia: “raccogliere le credenziali, diffondersi, replicare”. Si presume che un operatore abbia accesso a una macchina in rete e l’obiettivo è quello di iniziare a propagarsi attraverso il network, cercando di scaricare e decifrare le password o con la forza bruta. Poi l’operatore viene istruito a usare le credenziali sulla macchina successiva, espandendo il raggio d’azione e quindi a ripetere il primo passo. Allo stesso modo, viene ricordato agli operatori che le informazioni saranno crittografate solo quando sarà raggiunto il dominio della rete in modo da massimizzarne l’impatto.

Obiettivi di diffusione in rete
Per prima cosa, l’obiettivo di Conti è raggiungere il domain controller (DC). Gli operatori sono stati formati per farsi strada verso il DC attraverso il furto di credenziali e l’espansione. Dal momento che il processo sembra essere in gran parte manuale, questo offre un certo livello di discrezione agli operatori nella scelta degli obiettivi. Una volta trovate le credenziali di amministrazione del dominio, gli operatori avranno ottenuto l’accesso a una serie di risorse critiche:

⦁ Log di accesso per la gran parte della rete per analizzare il comportamento degli utenti
⦁ Registri DNS per la maggior parte del dominio, che possono essere utilizzati per dedurre l’utilizzo
⦁ Hash delle password
⦁ Punti focali per il movimento laterale

Questo focus sul DC rafforza l’idea che la fase di propagazione in rete sia cruciale per l’attacco. Dal DC, gli aggressori possono estrarre la maggior parte (se non tutte) le credenziali di cui hanno bisogno per accedere all’intera rete. Inoltre, poiché la maggior parte della configurazione del dominio è solitamente memorizzata lì, di solito ottengono molte informazioni sulla rete stessa e sui suoi ‘tesori’ (mail, elenchi di indirizzi, informazioni di contatto, banche dati, codice sorgente, informazioni contabili, documenti di progettazione, password/credenziali per altre reti, portafogli digitali).

l toolkit di Conti
Per raggiungere i suoi obiettivi, Conti ricorre a vari strumenti, la maggior parte dei quali non è di sua produzione. Solo crypter, trojan e injector sembrano essere proprietari, per il movimento laterale, la propagazione e l’esfiltrazione sembra invece utilizzare una serie di strumenti che dovrebbero essere familiari a chiunque sia nei red e blue team: Cobalt Strike, Mimikatz e PSExec, per citarne alcuni.

Accesso iniziale
Prima di portare scompiglio nella rete, deve entrare e trovare un punto d’appoggio. Sembra che Conti abbia sviluppato vari crawler e scanner, che perlustrano internet alla ricerca di server sfruttabili o violabili, garantendo l’accesso iniziale a una rete vittima o contrassegnandoli come violabili.

Movimento laterale
Oltre ai documenti sulla metodologia, ci sono altri manuali con esempi concreti e guide sull’implementazione del movimento laterale – le tecniche elencate di seguito sono state raccolte da tutti i membri del gruppo e ordinate in base alla quantità di esempi/riferimenti per ciascuno (in ordine di rilevanza):

⦁ Remote Windows Management Instrumentation (⦁ WMI) usata per lanciare payload da remoto usando /node:.. process call create (è interessante notare che a volte viene usato per attivare effettivamente un processo ⦁ BITS al fine di scaricare il malware ospitato in remoto o su una condivisione violata)
⦁ PSExec – sia lo strumento Sysinternals stesso che la sua implementazione Cobalt Strike sono utilizzati per l’esecuzione remota di payload
⦁ Remote scheduled task – utilizzando il comando line utility SCHTASKS con il flag /s per creare un task remoto ed eseguire un payload abbandonato
⦁ WinRM – questo è il metodo di esecuzione del codice integrato in Cobalt Strike
EternalBlue – sfruttando una vulnerabilità di esecuzione di codice remoto in SMB
BlueKeep – sfrutta una vulnerabilità di esecuzione di codice remoto in RDP

Persistenza e backdoor
Dai log della chat, gli unici metodi di persistenza che i ricercatori Akamai hanno rilevato sono i task programmati. Gli altri metodi spiegati in uno dei manuali comprendono: chiavi di esecuzione del registro, avvio delle applicazioni di Office, servizi di Windows, opzioni di esecuzione dei file immagine, sottoscrizione di eventi WMI, DLL AppInit, Winlogon userInit, pacchetti di notifica LSASS, Netsh helper DLL. Inoltre, i manuali menzionano anche l’installazione di AnyDesk e Atera, così come la modifica della porta RDP (e l’abilitazione a passare attraverso il firewall di Windows) – tutto presumibilmente per avere un altro punto di ingresso nel caso in cui la comunicazione venga persa.

Privilege escalation
Oltre agli strumenti esistenti di local privilege escalation (LPE) disponibili in Cobalt Strike, sembra che Conti usi la variante LPE di PrintNightmare per creare nuovi amministratori locali per i beacon che vengono eseguiti come utente abituale.

Raccolta delle credenziali
La maggior parte dei manuali di raccolta delle credenziali fanno riferimento a Mimikatz, ma l’arsenale completo include:

⦁ Mimikatz: ⦁ lsadump, ⦁ dcsync, ⦁ pth, ⦁ token injection
⦁ Zerologon – sfrutta una vulnerabilità netlogon per ottenere una sessione autenticata al controller di dominio e resettare la password krbtgt
⦁ Kerberoast – usato per crackare le password degli utenti del servizio Kerberos dai ticket di servizio
⦁ Zerologon – questa volta usato come modulo di sfruttamento post Cobalt Strike per acquisire una sessione di login al DC per eseguire dcsync
⦁ Credential stealer – probabilmente uno sviluppo interno; scansiona il filesystem locale alla ricerca di password utente memorizzate in file di testo e documenti

Elusione delle difese
Conti ha vari modi per evitare di essere scoperti. Il principale (e più sorprendente) è assicurarsi che gli strumenti rilasciati non attivino il rilevamento in prima linea. La documentazione include anche la prova che testano strumenti e tecniche con una serie di antivirus, dimostrando come i loro dropper e injector non li attivino grazie all’utilizzo di macchine locali, su cui girano i sistemi antivirus, e di dyncheck, una piattaforma per caricare e analizzare di campioni (simile a VirusTotal, anche se non sembra essere accessibile al momento). Inoltre, Conti ha alcuni manuali sullo spegnimento di Windows Defender, sia manomettendo la policy dell’host sia disattivando il servizio. La backdoor permanente ottiene indirizzi di comando e controllo da metodi di offuscamento, aiutando anche ad eludere il rilevamento: emercoin dns, Google cache e transazioni bitcoin.

Il salvataggio dei file su disco è scoraggiato, gli script/lolbin sono il metodo di lavoro preferito. I file salvati su disco dovrebbero essere nascosti usando la steganografia (in immagini o file di certificati) o in un modo che può essere facilmente elencato (registro, flussi di file).

Mitigazioni
Dato che la superficie di attacco è sfaccettata, anche la protezione dovrebbe essere a più livelli: non c’è un’unica soluzione che possa mettere immediatamente al sicuro l’utente. Come si vede nella metodologia di attacco, c’è un processo sofisticato prima che il ransomware venga distribuito, questo permette di rilevarlo e rispondere all’attacco.

Controllo degli accessi e ZeroTrust
Conti fa affidamento sugli utenti presenti e sulle loro credenziali per il movimento laterale e l’accesso. Imporre il controllo su chi può accedere a cosa e dove, e separare appositamente gli utenti di livello superiore da chi svolge attività quotidiane, può inibire e rallentare notevolmente il processo di movimento laterale. Questo metodo permette anche di avere una superficie di rilevamento molto più ampia.

Segmentazione
Oltre a controllare l’accesso degli utenti, è possibile monitorare anche i percorsi di comunicazione. Disabilitando i protocolli che possono essere abusati per il movimento laterale (RPC, RDP, WinRM, SSH, ecc.) tra gli endpoint utente, limitando l’accesso alle condivisioni di file (o disabilitandole del tutto su qualsiasi cosa che non sia un fileserver), e limitando l’accesso ai database e ai server di backup si può ridurre notevolmente la superficie di attacco della rete.
Per una maggiore granularità, i metodi di movimento laterale che si basano su RPC (come WMI remoto, attività programmate remote e psexec) possono essere controllati anche a livello di sistema operativo, utilizzando filtri RPC.

Firewall per applicazioni web
Prima che qualsiasi attacco possa propagarsi all’interno della rete, l’attaccante deve ottenere un punto d’appoggio. Nei casi di Conti, i vettori di accesso iniziale includono il phishing (mail spambot) e lo sfruttamento di servizi Internet (OWA, SQL injection, Apache Tomcat cgi-bin). Nella maggior parte dei casi, un buon firewall per applicazioni web dovrebbe bloccare la maggior parte dei tentativi di ottenere un punto d’appoggio iniziale all’interno della rete.

Inventario del software e gestione delle patch
Tenere traccia di quali software sono stati installati e dove può aiutare a rilevare eventuali inserimenti indesiderati. Questo vale per le backdoor Atera e AnyDesk di Conti ma anche per altri attacchi. Inoltre, la gestione delle patch può evitare ulteriori problemi.

Rilevamento del malware – EDR/AV
Questa è l’ultima linea di difesa sulle macchine in rete. Una buona (e aggiornata) soluzione di endpoint detection and response (EDR) o antivirus (AV) può aiutare a rilevare e bloccare gli strumenti utilizzati durante l’attacco. Oggi alcuni EDR dichiarano anche di essere in grado di rilevare e prevenire il ransomware euristicamente, quando inizia a criptare il vostro host.

Informazioni su Akamai
Akamai potenzia e protegge la vita online. Le principali aziende al mondo scelgono Akamai per creare, offrire e proteggere le loro experience digitali, aiutando miliardi di persone a vivere, lavorare e giocare ogni giorno. Con la piattaforma di computing più distribuita al mondo, dal cloud all’edge, siamo in grado di semplificare lo sviluppo e l’esecuzione di applicazioni per i nostri clienti, avvicinando le experience agli utenti e allontanando le minacce. Per scoprire ulteriori informazioni sulla sicurezza, sull’elaborazione e sulla delivery delle soluzioni di Akamai, potete visitare l’indirizzo akamai.com/it o akamai.com/it/blog e seguire Akamai Technologies su Twitter e LinkedIn

Powered by JustWatch

Potrebbe piacerti anche

Fantasy Day 2023: altri annunci!

Monster Hunter Rise: Sunbreak – Svelati nuovi dettagli

Clubhouse Pass Stagione 4 PGA TOUR 2K23

Fantasy Day 2023: le ultime novità

The Knight Witch [PLAYSTATION 4/5 – RECENSIONE]

Danilo Battista Apr 12, 2022
Share this Article
Facebook TwitterEmail Stampa
Pubblicato da Danilo Battista
Follow:
Appassionato sin da piccolo della cultura giapponese, è stato rapito tanti anni fa da Goldrake e portato su Vega. Tornato sulla Terra la sua viscerale passione per l'universo nipponico l'ha portato nel corso degli anni a conoscere ed amare ogni sfumatura della cultura del Sol Levante. Su Senzalinea ha cominciato a scrivere di tecnologia e di cosplay. Da diverso tempo gestisce la sezione "Nerdangolo" ma ha promesso che un giorno, neanche tanto lontano, tornerà su Vega...
Previous Article 13 Sentinels: Aegis Rim è ora disponibile per Nintendo Switch
Next Article Visite gratuite e non solo alla Clinica Mediterranea dal 20 al 26 aprile 2022

Ultime notizie

Fantasy Day 2023: altri annunci!
5 ore fa Danilo Battista
Monster Hunter Rise: Sunbreak – Svelati nuovi dettagli
6 ore fa Danilo Battista
Clubhouse Pass Stagione 4 PGA TOUR 2K23
6 ore fa Danilo Battista
Fantasy Day 2023: le ultime novità
12 ore fa Danilo Battista
The Knight Witch [PLAYSTATION 4/5 – RECENSIONE]
14 ore fa Danilo Battista
Partnership Sababa Security e Infinidat
15 ore fa Danilo Battista
BRACCHI CRESCE A 189 MILIONI NEL 2022 (+19%), L’AD FERRETTI ANNUNCIA NUOVE APERTURE
16 ore fa Danilo Battista
DISNEY+ GREAT EXPECTATIONS DAL 28 GIUGNO IN STREAMING
23 ore fa Redazione
Campania Wine, la città più bella del mondo ospita i vini della regione
23 ore fa Redazione
Vladimir Luxuria e Espedito De Marino a Marina di Camerota (SA) per “Liber Fest: spettacoli per un pensiero libero”
23 ore fa Redazione

You Might Also Like

EventiNerdangolo

Fantasy Day 2023: altri annunci!

5 ore fa
NerdangoloVideogiochi

Monster Hunter Rise: Sunbreak – Svelati nuovi dettagli

6 ore fa
NerdangoloVideogiochi

Clubhouse Pass Stagione 4 PGA TOUR 2K23

6 ore fa
EventiNerdangolo

Fantasy Day 2023: le ultime novità

12 ore fa
Senza LineaSenza Linea

© Senzalinea testata giornalistica registrata presso il Tribunale di Napoli n. 57 del 11/11/2015.Direttore Responsabile Enrico Pentonieri

Questo sito utilizza cookie. Se vuoi saperne di più o negare il consenso a tutti o ad alcuni cookie clicca qui. Chiudendo questo banner, scorrendo questa pagina, cliccando su un link o proseguendo la navigazione in altra maniera, acconsenti all'uso dei cookie Accept Reject Read More
Privacy & Cookies Policy

Privacy Overview

This website uses cookies to improve your experience while you navigate through the website. Out of these cookies, the cookies that are categorized as necessary are stored on your browser as they are as essential for the working of basic functionalities of the website. We also use third-party cookies that help us analyze and understand how you use this website. These cookies will be stored in your browser only with your consent. You also have the option to opt-out of these cookies. But opting out of some of these cookies may have an effect on your browsing experience.
Necessary
Sempre abilitato
Necessary cookies are absolutely essential for the website to function properly. This category only includes cookies that ensures basic functionalities and security features of the website. These cookies do not store any personal information.
ACCETTA E SALVA
Welcome Back!

Sign in to your account

Lost your password?