Conti Ransomware: Incident Response Analysis

Conti Ransomware: Introduzione

Conti Ransomware : Il Cyber Incident Response Team di Swascan ha analizzato la nuova famiglia di Ransomware Conti. Conti è un ransomware di nuova generazione potenziato con funzionalità che gli permettono di eseguire ed effettuare cyber attack più rapidi ed efficienti. Sono state identificare delle varianti ed è anche conosciuto come IOCP, R3ADM o Conti Doxware. Dalle analisi condotte, si ritiene che Conti ransmoware condivida lo stesso codice del più famoso Ryuk.

Sotto attacco Ransomware?
Contattaci

Il Conti ransomware è stato identificato per la prima volta nel mese di Dicembre 2019 ma negli ultimi mesi ha incrementato la sua attività e il numero degli attacchi informatici.

Conti ransomware

Conti ,come gli altri ransomware, dopo aver avuto  accesso alle reti informatiche, ottenute le credenziali di amministratore di sistema inizia a crittografare i vari sistemi.

Conti è un moderno ransomware gestito direttamente dall’attaccante con funzionalità di:

  • crittografia avanzata
  • sistemi di anti analysis
  • poter attaccare le reti tramite SMB.

Il sistema di crittografia usato è  ChaCha20.

 

Conti Ransomware Overview

Le caratteristiche del ransomware Conti sono:

  • Conti utilizza diverse tecniche di anti-analysis: una rutine che permette di nascondere le chiamate API di Windows utilizzate dallo stesso ransomware.
  • Il ransomware Conti permette di eseguire righe di comando per crittografare direttamente i dischi rigidi locali e/o l’indirizzo IP specifico.
  • Il ransowmare tramite vssadmin resize o cancella il Volume Shadow Copy di Windows tale da disabilitare il ripristino del sistema.
  • Conti  può operare in  multithread: 32 thread CPU di crittografia simultanei.
  • Il Conti ransomware agisce su Windows Restart Manager chiudendo le applicazioni e i servizi in esecuzione per poterli crittografare.
  • Conti inizierà il processo di crittografia dei file con crittografia AES-256 tramite una chiave pubblica hardcoded, creando una richiesta di riscatto denominata CONTI_README.txt.
  • I file crittografati hanno estensione “.Conti”.

 

Conti file crittografati

Fonte: BleepingComputer

Ransomware Conti: Sintesi

NomeCONTI Ransomware
Estensione del file.CONTI
TypeRansomware
FamigliaConti
DescrizioneIl ransomware crittografa tutti i dati memorizzati sul sistema vittima e richiede un riscatto
SintomiSistemi crittigrafati con algoritmi AES e RSA. Una volta completata la crittografia, il ransomware aggiunge la sua speciale estensione CONTI a tutti i file crittigrafati.
Metodo di distribuzionephishing, email spam, allegati  word, allegati .zip,…

 

Richiesta Riscatto del Ransomware Conti

Il ransomware Conti si sta evolvendo e sono state identificate alcune varianti. Di seguito alcune delle richieste di riscatto usate:

Conti : esempi riscatto:

 

Conti richiesta di riscatto

 

Elenco email per il Riscatto CONTI

Di seguito le mail degli attaccanti identificati:

 

Estenzioni file crittografati da Conti

I file crittografati dal ransomware Conti hanno tutti estenzione .Conti.

Sono state rilevate nuove estensioni:

Estensione: .RHMLM
Estensione: .UAKXC 
Estensione: .AWSAK
Estensione : .TJODT 

 

Conti Ransomware Vettori di Attacco

Il ransomware Conti ottiene l’accesso alla rete vittima due metodologie di attacco:

  • vulnerabilità di sistema
  • SocialEngineering

Sfruttamento delle vulnerabilità

Le vulnerabilità presenti sui sistemi esposti su internet possono essere sfruttare per permettere l’accesso all’infrastruttura target.  La vulnerabilità più usata è  l’utilizzo di  sistemi RDP esposti.

Social Engineering

La modalità di distrubuzione del ransomware Conti è sicuramente il malspam. Attacci insistenti di mail di phishing con allegati malevoli: allegati word , .zip,…

Sotto attacco Ransomware?
Contattaci

 

Conti Ransomware Mitre Attack

T1204 – User Execution: Malicious Link

L’avversario chiede agli utenti di fare clic su un collegamento dannoso, che a sua volta porta allo sfruttamento delle vulnerabilità del browser / dell’applicazione. Allo stesso modo, i collegamenti che reindirizzano a file dannosi scaricabili vengono utilizzati anche per distribuire Conti.

T1486 – Data Encrypted for Impact

L’avversario potrebbe potenzialmente interrompere l’accessibilità al sistema della vittima crittografando i suoi dati. Possono tentare di rendere non utilizzabili i dati memorizzati, crittografando file o dati sulle unità locali e remote, negando l’accesso alla chiave di decrittazione.

 

Mitre attack Conti ransomware.
https://www.vmray.com/analyses/eae876886f19/report/overview.html

 

 

Conti Ransomware Threats

 

CategoryOperationCount
5/5User Data ModificationEncrypts content of user files
5/5AntivirusMalicious content was detected by heuristic scan
5/5ReputationKnown malicious file
4/5User Data ModificationModifies Windows automatic backups
2/5ObfuscationResolves APIs dynamically to possibly evade static detection
2/5Anti AnalysisCreates an unusually large number of processes
1/5MutexCreates mutex
1/5Hide TracksCreates process with hidden window
1/5DiscoveryReads SMB connection information
1/5Hide TracksChanges folder appearance
1/5System ModificationCreates an unusually large number of files
0/5DiscoveryEnumerates running processes
Fonte: Vmray

Indicatori di Compromissione Ransomware Conti

Gli indicatori di compromissione relativi al Conti Ransomware sono:

IoC Conti

Conti Ransomware Virustotalhttps://www.virustotal.com/gui/file/eae876886f19ba384f55778634a35a1d975414e83f22f6111e3e792f706301fe/detection

 

 

IoC Conti Ransomware

 

Conti Ransomware VirusTotal IoC
https://www.virustotal.com/gui/file/04f48f2c17637966efaf96c728331067406ad9230342c1122030a33b9e45ca86/details

 

 

Incident Response Conti Ransomware

In caso di un DataBreach con i sistemi crittografati dal ransomware Conti, è necessario attivare l’ Incident Response Team e si consiglia di attivare i seguenti steps:

  1. Distacco immediato dalla rete di tutti i sistemi compromessi, evitandone spegnimento ed interventi invasivi al fine di preservare l’integrità delle evidenze digitali.
  2. Acquisizione di evidenze digitali (RAM, Cache, Memorie di massa) dai sistemi coinvolti nelle prime fasi dell’attacco.
  3. Doppio cambio forzato di tutte le password di dominio.
  4. Identificare i vettori di attacco anche attraverso attività di Network Scan e Vulnerability Assessment rete esposta
  5. Identificare la presenza di credenziali e email aziendali compromesse attraverso servizi di  Domain Threat Intelligence
  6. Identificare la presenza di possibili Botnet attraverso attività di Cyber Threat Intelligence
  7. Cambio forzato delle password applicative in riferimento ai servizi impattati.
  8. Revoca e riemissione di eventuali certificati (VPN, Firma Digitale, ecc.).
  9. Impostazione della scadenza delle password su base almeno bimestrale
  10. Innalzamento dei requisiti di complessità delle password.
  11. Analisi dell’integrità dell’Active Directory
  12. Razionalizzazione degli account di dominio, evitando l’annidamento di gruppi di utenti all’interno di altri gruppi amministrativi.
  13. Riduzione degli utenti amministrativi ad un numero essenziale.
  14. Segmentazione delle reti evitando subnet eccessivamente ampie e limitando possibilità di eseguire movimenti laterali.
  15. Definire l’elenco dei servizi impattati che sono core business al fine di favorirne il ripristino
  16. Applicazione di  GPO restrittive
  17. Impedire l’esecuzione di programmi all’interno di cartelle temporanee e dedicate  al  sistema
  18. Inibire l’utilizzo di moduli o applicazioni non sicure (Bluetooth,).
  19. Impedire l’installazione di software non autorizzato.
  20. Installazione di agent EDR e NDR
  21. Attivare il servizio di Soc as a Service
  22. Analisi dei log dei diversi dispositivi di sicurezza e/o analisi traffico presenti in azienda (Firewall, Proxy, AV se presente).
  23. Individuazione ed analisi specialistica di eventuali artefatti.
  24. Blocco immediato degli indicatori identificati
  25. Aggiornamento di firmware o SO di tutti i sistemi e i dispositivi di protezione perimetrale (Firewall, WAF, IDS/IPS, Proxy / Reverse Proxy) alle ultime release.

 

 

 

Cyber Security News 27/12/2020
Cyber Security News 28/12/2020

Pronto intervento Cyber Swascan

Contattaci per un supporto immediato

Il sottoscritto, in qualità di interessato DICHIARA di aver letto e compreso il contenuto della privacy policy ai sensi dell’articolo 13, GDPR. ACCONSENTE al trattamento dei Dati in relazione all’invio da parte del Titolare di comunicazioni afferenti alla gestione di eventuali misure precontrattuali, preordinate alla stipulazione e/o esecuzione del contratto con il Cliente nonché all'adempimento dei relativi obblighi.
Il consenso prestato potrà essere revocato in qualsiasi momento contattando il Titolare ai recapiti presenti nella citata privacy policy.