Η ομάδα ransomware Conti εισέβαλε στην κυβέρνηση της Κόστα Ρίκα και προκάλεσε την κύρηξη της κατάστασης έκτακτης ανάγκης κυβερνοασφάλειας.
Έχουν προκύψει λεπτομέρειες για το πώς η συμμορία ransomware Conti παραβίασε την κυβέρνηση της Κόστα Ρίκα, δείχνοντας την ακρίβεια της επίθεσης και την ταχύτητα μετάβασης από την αρχική πρόσβαση στο τελικό στάδιο της κρυπτογράφησης συσκευών.
Αυτή είναι η τελευταία επίθεση από τη καμπάνια Conti ransomware πριν η ομάδα μεταβεί σε μια διαφορετική μορφή οργάνωσης που βασίζεται σε πολλαπλά κελιά που συνεργάζονται με άλλες συμμορίες.
Η επιχείρηση ransomware Conti ξεκίνησε το 2020 για να αντικαταστήσει το Ryuk και γρήγορα απέκτησε δυσάρεστη φήμη μετά από επιθέσεις σε θύματα τόσο στον ιδιωτικό όσο και στον δημόσιο τομέα, συμπεριλαμβανομένων των τοπικών κυβερνήσεων στις ΗΠΑ, των σχολείων και των εθνικών συστημάτων υγειονομικής περίθαλψης.
Στις 11 Απριλίου 2022, η ομάδα Conti ransomware ξεκίνησε την τελευταία της εισβολή με αυτήν την ονομασία, αφού απέκτησε αρχική πρόσβαση στο δίκτυο της κυβέρνησης της Κόστα Ρίκα και συμμετείχε σε αναγνωριστική δραστηριότητα.
Μια αναφορά από την εταιρεία πληροφοριών στον κυβερνοχώρο Advanced Intelligence (AdvIntel) περιγράφει λεπτομερώς τα βήματα των Ρώσων hacker από το αρχικό βήμα μέχρι την διείσδυση σε 672 GB δεδομένων στις 15 Απριλίου και την εκτέλεση του ransomware.
Το σημείο εισόδου του παράγοντα απειλής ήταν ένα σύστημα που ανήκε στο Υπουργείο Οικονομικών της Κόστα Ρίκα, στο οποίο ένα μέλος της ομάδας που αναφέρεται ως «MemberX» απέκτησε πρόσβαση μέσω σύνδεσης VPN χρησιμοποιώντας παραβιασμένα διαπιστευτήρια.
Ο Διευθύνων Σύμβουλος της Advanced Intelligence Vitali Kremez είπε στο BleepingComputer ότι τα παραβιασμένα διαπιστευτήρια ελήφθησαν από malware που ήταν εγκατεστημένο στην αρχική συσκευή που είχε παραβιαστεί στο δίκτυο του θύματος.
Περισσότερα από 10 beacon sessions του Cobalt Strike οργανώθηκαν στα πρώτα στάδια της επίθεσης, αναφέρουν οι ερευνητές της AdvIntel στην έκθεση.
«Η μόλυνση ακολούθησε μια τυπική ροή επίθεσης όπου οι hackers απέκτησαν πρόσβαση από το παραβιασμένο αρχείο log VPN εγκαθιστώντας μια κρυπτογραφημένη μορφή Cobalt Strike μέσα στο υποδίκτυο της Κόστα Ρίκα» – AdvIntel
Αφού απέκτησε πρόσβαση διαχειριστή domain τοπικού δικτύου, ο εισβολέας χρησιμοποίησε το εργαλείο command line Nltest για να απαριθμήσει τις σχέσεις domain trust. Στη συνέχεια, σάρωσε το δίκτυο για κοινοποιήσεις αρχείων χρησιμοποιώντας τα βοηθητικά προγράμματα ShareFinder και AdFind.
Οι λεπτομέρειες της AdvIntel σχετικά με τη δραστηριότητα του Conti ransomware στο δίκτυο της κυβέρνησης της Κόστα Ρίκα περιλαμβάνουν τις συγκεκριμένες εντολές που χρησιμοποιούνται σε κάθε βήμα.
Σύμφωνα με τους ερευνητές, ο MemberX στη συνέχεια χρησιμοποίησε το backdoor channel του Cobalt Strike για να κατεβάσει το αποτέλεσμα της κοινοποίησης αρχείων σε ένα τοπικό μηχάνημα.
Ο εισβολέας μπόρεσε να αποκτήσει πρόσβαση σε κοινοποιημένα αρχεία διαχειριστή, όπου ανέβασε ένα DLL beacon του Cobalt Strike και στη συνέχεια το έτρεξε χρησιμοποιώντας το εργαλείο PsExec για απομακρυσμένη εκτέλεση αρχείων.
Χρησιμοποιώντας το εργαλείο Mimikatz μετά την εκμετάλλευση για τη διείσδυση σε διαπιστευτήρια, ο αντίπαλος σύλλεξε τους κωδικούς πρόσβασης σύνδεσης και τα NTDS hashes για τους τοπικούς χρήστες, λαμβάνοντας έτσι «plaintext και bruteable hashes των τοπικών admin, domain και enterprise administrator».
Οι ερευνητές λένε ότι οι χειριστές του Conti ransomware χρησιμοποίησαν το Mimikatz για να εκτελέσουν μια επίθεση DCSync και Zerologon
που τους έδωσε πρόσβαση σε κάθε host στα διασυνδεδεμένα δίκτυα της Κόστα Ρίκα.Δείτε επίσης: Το Conti ransomware είχε στοχεύσει Intel firmware για κρυφές επιθέσεις
Για να βεβαιωθεί ότι δεν θα χάσει την πρόσβαση σε περίπτωση που οι υπερασπιστές εντοπίσουν τα Cobalt Strike beacons, η ομάδα Conti εγκατέστησε το εργαλείο απομακρυσμένης πρόσβασης Atera σε hosts με λιγότερη δραστηριότητα χρήστη όπου είχαν δικαιώματα διαχειριστή.
«Οι αντίπαλοι έκαναν ping σε ολόκληρο το δίκτυο και επανεξέτασαν τα network domain trusts, αξιοποιώντας τα διαπιστευτήρια enterprise administrator με το ShareFinder και συντάσσοντας μια λίστα με όλα τα εταιρικά περιουσιακά στοιχεία και βάσεις δεδομένων που είναι διαθέσιμα με τα νέα αυξημένα προνόμιά τους» – AdvIntel
Η κλοπή των δεδομένων ήταν εφικτή χρησιμοποιώντας το πρόγραμμα command line Rclone που μπορεί να διαχειριστεί αρχεία σε πολλές υπηρεσίες αποθήκευσης cloud. Η ομάδα Conti το χρησιμοποίησε για να ανεβάσει δεδομένα στην υπηρεσία file hosting MEGA.
Ένα διάγραμμα της ροής της επίθεσης:
Σύμφωνα με ένα σημείωμα στo site διαρροής της ομάδας Conti , η ζήτηση λύτρων ήταν αρχικά 10 εκατομμύρια δολάρια και στη συνέχεια αυξήθηκε στα 20 εκατομμύρια δολάρια όταν η Κόστα Ρίκα αρνήθηκε να πληρώσει.
Ωστόσο, οι ερευνητές της AdvIntel λένε ότι η εσωτερική επικοινωνία μεταξύ των μελών της Conti έδειξε ότι η τιμή «ήταν πολύ κάτω από το 1 εκατομμύριο δολάρια».
Η AdvIntel σημειώνει ότι η επίθεση της ομάδας Conti ransomware στην κυβέρνηση της Κόστα Ρίκα «ήταν σχετικά μη εξελιγμένη» και ότι ένα σχεδιασμένο «επίπεδο» δίκτυο σε συνδυασμό με εσφαλμένα διαμορφωμένα administrative shares βοήθησε τον εισβολέα να μεταβεί σε domain trusts.
Μετά από αυτή την ακρωτηριαστική επίθεση, η Κόστα Ρίκα αναγκάστηκε στις 8 Μαΐου να κηρύξει κατάσταση έκτακτης ανάγκης, καθώς η εισβολή είχε επεκταθεί σε πολλούς κυβερνητικούς φορείς, με ορισμένες υπηρεσίες να ξαναρχίζουν τη δραστηριότητά τους στις αρχές Ιουνίου.
Δείτε επίσης: Ομάδα Conti ransomware: Πόσες εταιρείες χακάρει το μήνα;
Περίπου 10 ημέρες αργότερα, οι ηγέτες της ομάδας Conti άρχισαν να τερματίζουν τη καμπάνια καθιστώντας εκτός σύνδεσης μέρος της υποδομής και ανακοινώνοντας ότι η επωνυμία Conti δεν υπήρχε πλέον.
Το τελευταίο βήμα συνέβη στα τέλη Ιουνίου, όταν η ομάδα Conti έκλεισε όλους τους ιστότοπους που χρησιμοποιούνται για τη διαπραγμάτευση λύτρων με τα θύματα και απέσυρε τον ιστότοπο διαρροής δεδομένων.
Ωστόσο, το συνδικάτο κυβερνοεγκληματιών ζει, κάτω από έναν διαφορετικό οργανισμό όπου τα μέλη του διασκορπίστηκαν σε άλλες επιχειρήσεις ransomware (Quantum, Hive, AvosLocker, BlackCat, Hello Kitty).
Άλλες δραστηριότητες επίσης στον τομέα των εκβιασμών που συνδέονται επίσης με το Conti ransomware είναι το Karakurt, το BlackByte και το Bazarcall collective.
Πηγή: bleepingcomputer.com