Bahisli bir conti bağlı kuruluşundan neredeyse bir ay sonra çetenin saldırı oyun kitabını sızdırdığında, güvenlik araştırmacıları otomatik çevirilerin neden olduğu yanlış yorumlamayı netleştiren tercüme edilmiş bir varyantı paylaştı.
Çetin saldırı yöntemleri ve talimatların tamlığı ve daha az vasıflı aktörlerin conti fidye yazılımı iştirakleri olmasını ve değerli hedeflere çarpmasına olanak tanıyan talimatların tamlığı.
Cisco Talos araştırmacılarıyla çalışan dilbilimciler, çetenin tekniklerini ve araçlarını doğru bir şekilde tanımlayan anlaşılır bir İngilizce versiyonu sağlamak için sızdırılmış malzemeyi geçti.
Araştırmacılar, belgelerde açıklanan saldırı senaryoları çok kapsamlı, "Hatta amatör rakipler [] yıkıcı Ransomware saldırıları yapabilir]" dedi.
"Bu alt girişin bu alt bariyer ayrıca daha az teknik olarak görülen hoşnutsuz bir üye tarafından sızıntıya yol açmış olabilir (AKA" bir komut dosyası Kiddie ") ve daha az önemli"
Kılavuzlarda verilen "İpuçları" arasında, bir mağdurun ağını, kullanıcıları, özellikle de Active Directory erişimine sahip olanları listelemek için komutları ve araçları kullanarak bir mağdurun ağını ihlal ettikten sonra nasıl yapılacağıdır.
LinkedIn'in ve diğer sosyal medya platformlarını imtiyazlı erişim ile tanımlamak için kontrol etmek gibi basit bir keşif, ayrıca, tekniklerin ABD ve Avrupa'daki şirketler için daha iyi çalıştığı bir not ile ayrıntılı olarak açıklanmaktadır.
Sızdıran malzemede açıklanan üst takım, yazılımın çatlak 4.3 versiyonunun eşlik ettiği Kobalt Strike Red-Teaming Framework'dir.
Kullanım Talimatları, Zerologon Güvenlik Açığı'nı (CVE-2020-1472) sömürülmesi için de adlandırılır. Conti Ransomware'nin oyun kitabında belirtilen diğer kritik hatalar, PrintNightMare (CVE-2021-1675, CVE-2021-34527) ve ETERNAlBlue'dir (CVE-2017-0143 / 0148).
Kaydırıcı tarafından detaylandırılan araçlardan bazıları, Cisco araştırmacılarının genellikle olay tepkisi sözleşmeleri sırasında gördüğü şey değildir:
Diğer araçlar arasında, sızdırılmış belgelerde açıklanan komut satırı yardımcı programları aşağıdakileri içerir:
Kullanıcı kısmına geçmeden önce, iştiraklerin açık kaynak bilgisi arayarak kurbanlarının gelirlerini öğrenmeleri talimatı verilmektedir.
Angry Conti Affiliate'den sızıntı ayrıca, çoğunlukla Rusça eğitimlerini, PowerShell'in nasıl kullanılacağını, Active Directory'ye saldıran, veya bir Windows etki alanında kaldıraç SQL Server'ın nasıl kullanılacağını açıklayan video eğitimlerini de içerir.
Bağlı kuruluşlar için video eğitimlerinin (Metasploit, PowerShell, WMI saldırıları ve savunma, ağ kalem testi) çoğu, çevrimiçi olarak mevcut olan çeşitli saldırgan güvenlik kaynaklarındandır.
Cisco Talos Araştırmacıları, sızdırılmış conti belgelerinin tercüme edilmiş versiyonunun, diğer araştırmacıların, bu tehdit aktörünün taktiklerini, tekniklerini ve prosedürlerini daha iyi anlamalarına yardımcı olacağına ve belgelerden ilham alabilecek diğerleri.
"Bu, savunucuların, bu tür davranışları tespit etmek için bu tür davranışları tespit etmek ya da riski azaltmak için kontrolleri telafi etmek için mantıklara sahip olduklarından emin olmaları için bir fırsattır. Bu çeviri, savunucuların bu grupların nasıl çalıştığını ve bu saldırılarda yararlanma eğiliminde oldukları araçların nasıl çalışması için daha iyi bir işleme sahip olmaları için bir fırsat olarak görülmelidir "- Cisco Talos
Araştırmacılar, bir PDF dosyasının yanı sıra bir zip arşivinde bir tek tek metinler sağlar. Materyallerin bir özeti Fortinet'ten de mevcuttur.
Angry Conti Ransomware Affiliate Sızıntıları Çetenin Saldırı Oyun Kitabı
Nokia Bağımlılığı, Conti Ransomware saldırısından sonra veri ihlalini açıklar.
Ransomware'deki Hafta - 20 Ağustos 2021 - Pencereleri Kullanma
Diavol Ransomware örneği Trickbot Gang'e daha güçlü bağlantı gösterir
Conti Ransomware gelir ve cyberinsiance veri hırsızlığına öncelik verir
Kaynak: Bleeping Computer