O que é Conti Ransomware?

No contexto de cibersegurança, Conti traz à mente grupos de hackers nefastos capazes de paralisar os sistemas e redes mais seguros. A descrição também aborda o sofisticado ransomware desenvolvido e usado pelos criminosos acima para atingir organizações em todo o mundo. Embora estivessem ativos apenas há alguns poucos anos, o grupo Conti Ransomware, apoiado pela Rússia, usou ferramentas maliciosas de todos os tipos e táticas agressivas de extorsão para roubar centenas de milhões de dólares. Embora o grupo esteja extinto, o Conti e ferramentas similares de ransomware continuam ativos e eficazes.

Quando um cibercriminoso implanta o Conti na rede de uma vítima, ele se espalha rapidamente enquanto criptografa e transfere dados para um local remoto. O objetivo é o controle total dos dados da vítima, levando à cobrança de um resgate na forma de extorsão dupla. Sem uma chave de descriptografia, as vítimas não podem mais acessar os dados. Enquanto isso, como o invasor também baixou os dados, eles reforçam ainda mais sua tentativa de extorsão ameaçando divulgar informações confidenciais. Embora ambos os cenários – perda de acesso aos dados e vazamento de informações confidenciais – possam resultar em sérios danos a uma empresa, pagar resgate muitas vezes não ajuda a resolver a situação.

Como funciona

O grupo Conti operava como um programa de afiliados de Ransomware-as-a-Service (RaaS). O grupo surgiu em 2019, quando assumiu o lugar de outro grupo, e começou a oferecer a sofisticada tecnologia de ransomware Conti para venda ou locação para afiliados interessados em realizar ataques. Um ataque requer a implantação do ransomware Conti, embora na maioria dos casos um ator ativo trabalhe para decifrar sistemas usando toda uma variedade de ferramentas e técnicas.

Por conta disso, as organizações devem se preparar para qualquer possibilidade, e um bom ponto de partida é o framework ATT&CK, desenvolvido pela organização sem fins lucrativos MITER. Essa estrutura é uma base de conhecimento abrangente de ataques e estratégias de resposta. Ele é desenvolvido a partir da observação de ataques virtuais do mundo real e fornece procedimentos detalhados para ajudar as organizações a identificar e se defender contra essas ameaças.

Acesso Inicial

Um ataque de ransomware começa com atores tentando obter acesso à rede de uma vítima. Uma abordagem típica envolve ataques de phishing por meio de e-mails com um documento do Word ou arquivo zip aparentemente inofensivo anexado. No entanto, esses anexos são malware que implantam exploits de primeiro estágio, como o Cobalt Strike. Outra abordagem envolve a busca por portas RDP abertas por meio de verificações de rede e o uso dessas portas para fazer login com credenciais roubadas. Uma vez dentro, os invasores usam uma variedade de ferramentas (maliciosas e de código aberto) para navegar na rede, localizar armazenamentos de dados e comprometer a segurança. É por isso que o provisionamento cuidadoso e a segurança rígida são essenciais para as empresas com acesso de funcionários remotos.

Outras técnicas aproveitam pontos fracos de ferramentas padrão, como o Active Directory, que armazena hashes de senha no disco e na memória. Estes são facilmente obtidos com ferramentas como mimikitz, fornecendo aos invasores credenciais administrativas e amplo acesso à rede e seus dados. Para qualquer empresa que utilize o Windows Server, implantar a proteção interna para o Active Directory é uma decisão acertada.

Movimentação Lateral

Uma vez que os invasores violam uma rede, eles implantam o ransomware Conti, permitindo que ele se espalhe por toda a rede. À medida que se espalha, o código avançado de Conti usa uma técnica de multithreading para criptografar dados rapidamente e emprega várias técnicas de ofuscação para escapar de várias camadas de segurança. Essa estratégia maximiza o dano que o Conti inflige antes que as soluções de endpoint possam detectar e parar o ataque.

A Conti deve sua velocidade e eficiência na propagação para seu movimento lateral em uma rede — especificamente o protocolo Server Message Block (SMB). Todos os sistemas Microsoft Windows usam SMB para se comunicar com dispositivos, como impressoras de rede. Em vez de seguir os dispositivos de rede convencionais, o Conti se espalha pelo protocolo SMB, tornando-o excepcionalmente difícil de detectar e conter. Configurar o parâmetro de cliente SMB do Windows ajuda a atenuar essa abordagem lateral. 

Exfiltração e criptografia

Quando uma rede é totalmente violada, os invasores usam ferramentas de código aberto, como o Rclone, para exfiltrar os dados de uma vítima para um provedor de armazenamento em nuvem. O objetivo é evitar a sinalização por sistemas de segurança que monitoram atividades suspeitas na rede. Enquanto isso, os invasores também tentam excluir ou corromper backups como parte de sua estratégia. Isso torna mais difícil para as vítimas recuperar dados sem pagar um resgate. Muitas equipes negligenciam a estratégia de manter backups seguros em um local isolado, mas essa negligência poderá se tornar cara se houver ransomware envolvido.

Extorsão (ransomware)

Os agentes geralmente passam dias ou semanas dentro de uma rede, criptografando e transferindo dados e destruindo backups. Quando eles pedem um resgate, já é tarde demais: Os dados da vítima já estão criptografados, tornando-os inacessíveis sem a chave de descriptografia. Os atores exigem milhões de dólares em troca dessa chave, e como a perda de tantos dados é devastadora para qualquer organização, essas demandas geralmente são atendidas.

Um ataque de Conti também envolve a ameaça de vazamento de dados. Os atores criam uma camada adicional de extorsão ameaçando vazar informações confidenciais, a menos que as vítimas paguem seus pedidos de resgate. A ameaça de expor dados confidenciais de empresas ou clientes obriga muitas empresas a pagar a taxa de resgate.

A história e o futuro dos ataques de Conti

A gangue de ransomware Conti se estabeleceu como uma das organizações de crimes cibernéticos mais temidas e notórias da história. Ao longo de alguns anos, o grupo coordenou inúmeros ataques de alto perfil, incluindo ataques cibernéticos a corporações, instalações de saúde, municípios e até governos nacionais.

Formação, Composição e Estrutura

Surgido por volta de 2019 ou 2020, o grupo Conti se formou para substituir Ryuk, outra gangue de ransomware e hackers. Como seu antecessor, a maioria dos analistas de segurança acredita que Conti foi liderada por hackers com laços russos. Operando como uma organização de ransomware como serviço, o grupo alugou sua tecnologia e infraestrutura para outros grupos e hackers que as usariam para lançar ataques. O grupo Conti recebeu comissões por ataques bem-sucedidos.

Parte da infraestrutura de Conti era um site usado para vazar dados confidenciais exfiltrados durante ataques bem-sucedidos. O site foi lançado em agosto de 2020 e, até o final do mesmo ano, havia vazado dados de mais de 150 organizações. Embora fornecer malware e infraestrutura para outros hackers em troca de lucros não seja incomum no cibercrime, a abordagem do grupo Conti foi única.

O grupo Conti teve um papel mais ativo nos ataques, chegando a contratar hackers como funcionários. Utilizou práticas de negócios comuns às empresas de tecnologia, engajando-se em esforços de recrutamento com promessas de benefícios e altos salários. A certa altura, havia um departamento de recursos humanos ativo. Não deve surpreender que o grupo Conti era e ainda é considerado uma organização criminosa.

Ataques notáveis

Em março de 2021, Conti se infiltrou no Executivo de Serviços de Saúde da Irlanda, obtendo acesso a toda a rede, incluindo 70.000 dispositivos. Em 14 de maio de 2021, Conti criptografou terabytes de dados, desativando a infraestrutura do hospital. A Conti disse que exfiltrou mais de 700 GB de dados, incluindo informações pessoais de pacientes, funcionários e contratados. O grupo exigiu $20 milhões para desfazer suas ações.

Micheal Martin, primeiro-ministro da Irlanda na época, anunciou na televisão que o governo não pagaria o resgate. Em 20 de maio, o FBI emitiu um comunicado descrevendo ataques semelhantes de Conti a redes de saúde e de socorristas nos EUA e no mundo, pedindo qualquer informação sobre as operações do grupo.

Em 29 de setembro de 2021, a JVCKenwood divulgou que alguns de seus servidores na Europa haviam sido violados e que os dados dos clientes poderiam ter sido comprometidos. No dia seguinte, o site de notícias Bleeping Computer recebeu uma cópia da nota de resgate que foi enviada ao JVCKenwood, identificando o grupo Conti como os invasores e sequestradores. O grupo disse na nota que roubou quase 2 TB de dados, para os quais exigiu $7 milhões.

Em maio de 2021, um ataque semelhante aconteceu em Tulsa, Oklahoma, quando um ransomware desligou a rede da cidade, levando a interrupções de seus sistemas online. O grupo Conti reivindicou a responsabilidade, publicando quase 19.000 arquivos – a maioria notificações policiais e documentos internos do Word. Em resposta, a prefeitura emitiu um alerta de que informações pessoais foram expostas nos arquivos vazados.

O ataque mais notório de Conti ocorreu de meados de abril até o final de maio de 2022. Depois de suportar semanas de ataques na Costa Rica, o governo declarou emergência nacional, o primeiro país a fazê-lo em resposta a um ataque cibernético. A gangue de ransomware atacou as redes e sistemas de dezenas de órgãos governamentais, incluindo o Ministério da Fazenda e o Ministério do Trabalho e Previdência Social. Os ataques devastadores custaram milhões de dólares ao governo e demonstraram que um grupo de hackers pode desestabilizar um país inteiro.

Rebranding

Muitas empresas de segurança cibernética acreditam que o ataque da gangue Conti à Costa Rica foi um ardil elaborado para chamar a atenção de seus esforços de rebranding. Pouco antes do início do ataque, o grupo já havia iniciado o processo de desmantelamento da marca Conti. Em maio de 2022, a empresa de cibersegurança AdvIntel declarou o grupo criminoso de hackers oficialmente morto.

Embora ninguém saiba ao certo, muitos especialistas acreditam que o grupo se dissolveu por divisões internas após a invasão da Ucrânia pela Rússia em 24 de fevereiro de 2022. No dia seguinte ao início da invasão, Conti anunciou seu apoio à Rússia. Dois dias depois, em 27 de fevereiro, uma nova conta no Twitter vazou mais de 170 mil registros de bate-papo internos do grupo, bem como o código-fonte do ransomware Conti.

O vazamento forneceu um tesouro de informações para analistas de segurança, incluindo ferramentas e métodos exatos usados por hackers para se infiltrar em organizações em todo o mundo. Também demonstrou o quão bem organizado era o grupo, operando como uma startup de alta tecnologia com posições e hierarquias estabelecidas, incluindo programadores, administradores de sistema, recrutadores e executivos.

Em 24 de junho, um mês após o fim do ataque à Costa Rica, o último site do grupo Conti foi desativado, marcando o fim de uma das organizações de crimes cibernéticos mais notórias da história. Mas os hackers sem rosto que fizeram de Conti o que era não foram para a cadeia ou desapareceram. Enquanto seu ataque final estava em andamento, eles silenciosamente se dispersaram e formaram novos grupos e gangues.

Como detectar um ataque Conti

Um ataque Conti é, por definição, multifacetado. Envolve vários vetores de ataque que geralmente ocorrem ao longo de vários dias. Como os invasores usam ferramentas comuns e prontamente disponíveis durante todo o ataque, a detecção é um desafio. No entanto, há sinais para quem sabe o que procurar. Um método é o monitoramento diligente da rede. Ferramentas de monitoramento em tempo real podem alertar os administradores quando um evento atingir um determinado limite – tentativas de login fracassadas ou a varredura de várias portas, por exemplo.

Outro indicador é um aumento nos e-mails de phishing. Os invasores de ransomware usam phishing para roubar credenciais, comprometer sistemas na rede e obter acesso. As empresas podem melhorar as chances de detectar um ataque em seus estágios iniciais, garantindo que os funcionários identifiquem e sinalizem corretamente e-mails suspeitos, alertando as equipes de segurança.

Como mitigar um ataque Conti

Implementar a autenticação multifator para todos os usuários é uma das medidas mais eficazes para proteger sua organização contra ataques de ransomware como o Conti. A autenticação multifator exige que os usuários tenham duas ou mais formas de identificação para acessar contas seguras, tornando extremamente difícil para os hackers obter acesso por meio de senhas comprometidas.

Implementar e manter uma segmentação de rede robusta é outro passo para proteger sua organização contra ameaças de ransomware. A segmentação de rede ajuda a reduzir a disseminação de malware, isolando redes e funções umas das outras, evitando o movimento lateral de ransomwares como o Conti. 

Algumas outras estratégias de segurança incluem:

• Utilizando software de segurança: Use ferramentas de resposta de detecção e endpoints para aumentar a visibilidade da segurança de endpoints e se proteger contra atores cibernéticos maliciosos. Configure programas antivírus e antimalware para executar varreduras regulares de ativos de rede com assinaturas atualizadas.
• Limitando o acesso à rede: Restrinja o Remote Desktop Protocol (RDP) se ele não for usado. Se o RDP for considerado necessário, restrinja as fontes de origem e exija autenticação multifator após avaliar os riscos.
• Utilizando as políticas de aplicação: Certifique-se de que todos os softwares conectados à rede, incluindo sistemas operacionais e aplicações, sejam atualizados imediatamente. Considere o uso de um sistema centralizado de gerenciamento de patches para definir políticas.
• Gerenciando a segurança da aplicação: Remova todas as aplicações desnecessárias das operações diárias, pois os agentes de ameaças do Conti aproveitam muitas ferramentas padrão durante os ataques. Para ver qual software prontamente disponível os criminosos cibernéticos estão usando, monitore a lista de ferramentas da CISA.

Garantir que a sua empresa tenha backups seguros como defesa contra ransomware é a forma mais eficaz de negar os impactos da extorsão de dados. Ao desenvolver uma estratégia de backup segura e robusta, as empresas obtêm proteção contra a perda de dados devido a ataques de criptografia e exfiltração.

O que fazer em caso de infecção

A cibersegurança é uma batalha constante. As organizações com segurança hipervigilante ainda podem sucumbir a algum exploit recém-descoberto. Saber como lidar com um ataque de ransomware pode evitar resultados piores nessas situações. O pior resultado possível seria pagar um pedido de resgate.

As empresas não devem pagar resgates em ataques de ransomware. Empresas de segurança independentes, bem como a CISA, FBI e NSA, desencorajam isso de forma unânime. Isso incentiva ataques dos atores originais e novos grupos. Se os indivíduos decidirem não fornecer a chave de descriptografia depois que um resgate for pago, a organização estará em uma situação pior do que quando começou.

Em vez disso, siga as etapas abaixo, conforme recomendado pela organização mencionada acima:

1. Consulte a Lista de Verificação de Resposta a Ransomware no Guia Conjunto de Ransomware.
2. Se possível, verifique os backups de dados com um programa antivírus para garantir que eles não estejam infectados.
3. Denuncie imediatamente o incidente à CISA, a um escritório de campo local do FBI ou a um escritório de campo do Serviço Secreto dos EUA.

No caso de um ataque, as organizações precisam agir rapidamente para conter o dano e evitar uma nova disseminação. Antes do início da recuperação, é essencial identificar o tipo de ransomware envolvido e determinar a extensão dos danos. Os esforços devem se concentrar em restaurar os sistemas e dados mais críticos primeiro, com uma abordagem priorizada para minimizar o tempo de inatividade e limitar o impacto do ataque.

Um ataque de ransomware é assustador. Restaurar sistemas, serviços e dados é demorado e caro, sem contar as interrupções causadas às operações de negócios. Comunicar-se com partes interessadas e clientes é igualmente vital – reconstruir relacionamentos é tão importante quanto. A conclusão é que uma estratégia abrangente de backup e recuperação, além de realizar testes regulares, minimiza os riscos do pior cenário para qualquer ataque de ransomware.

Como a Veeam pode ajudar

A proteção contra ransomware mais eficaz contra ataques do Conti e outros semelhantes é uma estratégia poderosa de backup e recuperação de dados. Com a abordagem de prevenção, detecção e restauração da Veeam, as organizações podem reduzir os impactos do ransomware, impedindo a perda de dados por criptografia ou corrupção. Nenhuma organização está imune a um ataque de ransomware, mas a Veeam pode ajudar a proteger os dados de perdas irreparáveis e evitar o envolvimento com grupos de cibercriminosos turbulentos.