Quando si tratta di Ransomware, le modalità con cui i vari operatori eseguono l’attacco possono essere molto diverse fra loro. In questo articolo condividiamo alcuni dettagli tecnici osservati durante la fase di compromissione dagli operatori della Gang del Ransomware Conti, particolarmente attiva e fra i più maturi nel panorama (riferimento).

Durante le fasi di compromissione, caratteristica di questi operatori è lo sfruttamento di certe vulnerabilità, tra cui:

  • Vulnerabilità del 2017 relativa a SMB (info);
  • PrintNightmare (CVE-2021-34527);
  • Zerologon (CVE-2020-1472)

Dettagli tecnici delle fasi d’attacco

Conti per ottenere l’accesso iniziale all’infrastruttura delle vittime solitamente utilizza una delle seguenti tecniche:

  • Campagne di spearphishing con delle e-mail personalizzate che contengono allegati dannosi T1566.001 o link malevoli T1566.002. Spesso nell’utilizzo di queste tecniche vengono scaricati altri malware e strumenti che permettono di semplificare il lateral movement e le altre attività eseguite dai criminali;
  • Furto di credenziali RDP T1078;
  • Trojan che si mascherano da ottimizzatori delle prestazioni del sistema.

Dopo aver ottenuto l’accesso all’infrastruttura della vittima, gli attaccanti eseguono comandi della Shell di Windows T1059.003 e frutta le API native di Windows Technique T1106. CISA e FBI hanno osservato che i criminali utilizzano strumenti per scansionare ed eseguire attacchi brute force su routers, telecamere e dispositivi di archiviazione collegati alla rete mediante interfacce web.

Per ottenere la persistenza all’interno dell’infrastruttura i criminali sfruttano le utenze valide per i software per il monitoraggio remoto e la gestione da remoto del Desktop T1078. Inoltre, possono anche utilizzare gli accessi delle VPN, Citrix e degli altri software che permettono di accedere dall’esterno alle risorse presenti all’interno dell’infrastruttura.

Per la Privilege Escalation Conti esegue una Process Injection caricando in memoria ed eseguendo una dynamic-link library (DLL) cifrata T1055.001.

Come tecniche per la Defense Evasion esegue codice offuscato T1027, permettendogli di nascondere le chiamate alle API di Windows, oltre a eseguire Process Injection e decifra il suo payload attraverso l’uso di una chiave AES-256 T1140.

Per ottenere le credenziali d’accesso i criminali di Conti utilizzano svariate tecniche, tra cui:

  • Brute Force T1110
  • Rubare o falsificare i ticket Kerberos T1558.003
  • System Network Configuration Discovery T1016
  • System Network Connections Discovery T1049
  • Process Discovery T1057
  • File and Directory Discovery T1083
  • Network Share Discovery T1135

Per la fase di lateral movement solitamente si sfrutta il protocollo SMB T1021.002 e compromettendo i file condivisi tra più utenti e macchine T1080.

Infine, Conti esegue la fase di Impatto sull’infrastruttura cifrando i dati T1486 eseguendo le funzioni CreateIoCompletionPort(),  PostQueuedCompletionStatus(), e GetQueuedCompletionPort(). Per la cifratura utilizza una chiave AES-256 diversa per ogni file a partire da con una chiave RSA-4096 pubblica unica per ogni vittima. Solitamente vengo esclusi dalla cifratura i file con estensione “exe”, “dll” e “lnk”. Inoltre, non di rado si osserva anche la cancellazione delle Shadow Copies T1490 e stop di diversi servizi Windows T1489 che sono necessari per la sicurezza, i backup e i database.

IOC

Recentemente sono stati rilevati i seguenti indirizzi relativi a Cobalt Strike utilizzati da Conti:

  • 162.244.80[.]235
  • 85.93.88[.]165
  • 185.141.63[.]120
  • 82.118.21[.]1

Related articles