Conti fidye yazılımı çetesinin Kosta Rika hükümetini nasıl ihlal ettiği ve saldırının hassasiyetini ve başlangıç erişiminden şifreleme cihazlarının son aşamasına geçme hızını gösterdiği konusunda ortaya çıktı.
Bu, grup, diğer çetelerle çalışan birden fazla hücreye dayanan farklı bir organizasyon biçimine geçmeden önce Conti fidye yazılımı işleminden son saldırıdır.
Conti fidye yazılımı operasyonu, 2020'de Ryuk'un yerini almak için başlatıldı ve ABD'deki yerel yönetimler, ulusal sağlık sistemleri de dahil olmak üzere hem özel hem de kamu sektöründeki kurbanlara saldırdıktan sonra hızla infame oldu.
11 Nisan 2022'de Conti, Kosta Rika hükümetinin ağına ilk erişim sağladıktan ve keşif faaliyetlerine katıldıktan sonra bu marka altındaki son saldırılarına başladı.
Cyber Intelligence Company'den bir rapor, Rus bilgisayar korsanlarının 15 Nisan'da 672GB veriyi ortadan kaldırmaya ve fidye yazılımlarının yürütülmesine kadar Rus hackerların adımlarını detaylandırıyor.
Tehdit oyuncusu giriş noktası, Kosta Rika Maliye Bakanlığı'na ait bir sistemdi ve grubun bir üyesinin "üyex" olarak adlandırılan bir üye, tehlikeye atılan kimlik bilgilerini kullanarak bir VPN bağlantısı üzerinden erişim kazandı.
Gelişmiş İstihbarat CEO'su Vitali Kremeez, BleepingComputer'a, uzlaşmış kimlik bilgilerinin kurban ağında tehlikeye atılan ilk cihaza yüklenen kötü amaçlı yazılımlardan alındığını söyledi.
Raporda, saldırının ilk aşamalarında 10'dan fazla kobalt grev işaret oturumu kuruldu.
“Enfeksiyon, rakiplerin Kosta Rika alt ağının içine şifreli bir kobalt grevi kurarak tehlikeye atılan VPN kütüğünden erişim kazandıkları tipik bir saldırı akışını izledi” -Advintel
Yerel ağ etki alanı yöneticisi erişimi kazandıktan sonra, davetsiz misafir, etki alanı güven ilişkilerini numaralandırmak için NLTest komut satırı aracını kullandı. Ardından, ShareFinder ve AdFind yardımcı programlarını kullanarak dosya paylaşımları için ağları taradılar.
Advintel’in tehdit oyuncunun Kosta Rika Hükümeti’nin ağı üzerindeki etkinliği hakkındaki ayrıntıları arasında her adımda kullanılan belirli komutları yer alıyor.
Araştırmacılara göre, üyex daha sonra FileShare çıktısını yerel bir makineye indirmek için Cobalt Strike Backdoor kanalını kullandı.
Saldırgan, bir Cobalt Strike DLL Beacon yükledikleri idari hisse senetlerine erişebildi ve daha sonra uzak dosya yürütme için Psexec aracını kullanarak çalıştırdı.
Mimikatz Sıkıştırma Aracını Kullanarak Kimlik Bilgileri Eksfiltrat etmek için, Düşman yerel kullanıcılar için oturum açma şifrelerini ve NTDS karmalarını topladı ve böylece “düz metin ve mütevazi yerel yönetici, alan adı ve işletme yöneticisi karmaları” aldı.
Araştırmacılar, Conti operatörlerinin Mimikatz'ı Kosta Rika’nın birbirine bağlı ağlarındaki her ev sahibi için erişim sağlayan bir DCSYNC ve Zerologon saldırısı yapmak için kullandıklarını söylüyor.
Savunucuların kobalt grev işaretlerini tespit etmeleri durumunda erişimi kaybetmediklerinden emin olmak için, Conti, idari ayrıcalıklara sahip oldukları daha az kullanıcı etkinliğine sahip ana bilgisayarlara attera uzaktan erişim aracını dikti.
“Rakipler tüm ağı ping attı ve ağ etki alanı güvenlerini yeniden hesapladı, işletme yöneticisi kimlik bilgilerini ShareFinder ile kullanıyor ve yeni yükseltilmiş ayrıcalıkları altında mevcut olan tüm kurumsal varlıkların ve veritabanlarının bir listesini derledi” -Advintel
Birden fazla bulut depolama hizmetindeki dosyaları yönetebilen RCLone komut satırı programı kullanılarak verileri çalmak mümkün olmuştur. Conti bunu mega dosya barındırma hizmetine veri yüklemek için kullandı.
Saldırı akışının bir diyagramı:
Conti sızıntı sitesindeki bir nota göre, fidye talebi başlangıçta 10 milyon dolardı ve Kosta Rika ödemeyi reddettiğinde 20 milyon dolara yükseldi.
Ancak, Advintel araştırmacıları Conti üyeleri arasındaki iç iletişimin fiyatın “1 milyon doların çok altında” olduğunu gösterdiğini söylüyor.
Advintel, Conti’nin Kosta Rika hükümetine yapılan saldırının “nispeten sofistike olmadığını” ve yanlış yapılandırılmış idari hisselerle birleştirilmiş 'düz' bir ağın saldırganın alan adı güvenlerine geçmesine yardımcı olduğunu belirtti.
Bu sakat saldırının ardından, Kosta Rika 8 Mayıs'ta, izinsiz girişin birden fazla hükümet organına yayıldığı için ulusal bir acil durum ilan etmeye zorlandı ve bazı ajanslar Haziran başında faaliyete devam etti.
Yaklaşık 10 gün sonra, Conti liderleri altyapının çevrimdışı bir kısmını çevrimdışı olarak alarak ve markanın artık var olmadığını açıklayarak operasyonu kapatmaya başladılar.
Son adım, Conti'nin kurbanlarla fidye müzakere etmek için kullanılan tüm siteleri kapattığı ve veri sızıntısı alanını çevrimdışı aldığı Haziran ayı sonlarında gerçekleşti.
Bununla birlikte, siber suçlu sendikası, üyelerinin diğer fidye yazılımı operasyonlarına (kuantum, Hive, Avoslocker, Blackcat, Hello Kitty) dağıldığı farklı bir kuruluş altında yaşıyor.
Ayrıca, Conti ile bağlantılı olan dosya şifreleme kısmı eksi, Karakurt, Blackbyte ve Bazarcall Collective'dir.
Ransomware'de Hafta - 22 Temmuz 2022 - Saldırılar bol
Ransomware'de Hafta - 3 Haziran 2022 - Yaptırımlardan Kaçınma
Ransomware Gang tarafından ihlal edilen dijital güvenlik devi emri
Microsoft, Holy Ghost fidye yazılımı operasyonunu Kuzey Koreli bilgisayar korsanlarına bağlar
Ransomware Gang, çalışanların çalınan verilerini araması için site oluşturur
Kaynak: Bleeping Computer