Частные сообщения между членами Conti в чатах форума Contileaks раскрывают бесценную информацию о том, как печально известная группа вымогателей захватывает системы жертв.
Утечки внутренних чатов между членами группы вымогателей Conti позволяют заглянуть в ее внутренние дела и получить ценные сведения, включая подробную информацию о более чем 30 уязвимостях, используемых группой и ее филиалами, а также специфику ее процессов после проникновения в сеть, например, как она нацеливается на Active Directory.
В этом статье Tenable предлагает справочную информацию о Conti — одной из наиболее продуктивных групп вымогателей, действующих сегодня, — изучим утечку информации и предложим конкретные советы о том, как защитить вашу организацию от атак Conti.
Справочная информация
Публикация ContiLeaks появилась 27 февраля — дело рук предполагаемого члена группы Conti, занимающейся распространением вымогательского ПО. Этот аноним выложил в открытый доступ серию внутренних чатов между членами группы.
Это не первый случай утечки конфиденциальной информации о группе. В августе 2021 года один из филиалов Conti опубликовал сборник учебных материалов, предоставленных аффилированным лицам, что позволило нам впервые получить представление о работе группы вымогателей.
Эти утечки позволили исследователям проанализировать большее количество тактик, техник и процедур, разрабатывающих индикаторы компрометации, связанных с этой группой.
Исследователи из Breach Quest опубликовали 9 марта статью с анализом ContiLeaks, в которой привели список уязвимостей, которые группа, по-видимому, использовала для атак на организации.
Что такое Conti?
Впервые обнаруженная исследователями из Carbon Black в 2020 году, Conti — это группа вымогателей, которая использует модель ransomware-as-a-service (вымогательство как услуга) для развертывания программы-вымогателя Conti.
Ransomware-as-a-Service (RaaS) предлагается группами вымогателей и предоставляет аффилированным лицам — киберпреступникам, желающим сотрудничать с группами RaaS, — доступ к готовому к внедрению вымогательскому ПО, а также руководство по проведению атак. Группы RaaS получают небольшую долю от выплаченных выкупов, предоставляя основную часть прибыли аффилированным лицам.
За последние два года компания Conti приобрела широкую известность, получив, по данным Chainalysis, 180 миллионов долларов прибыли от своих атак. Она также получила известность благодаря атакам на сектор здравоохранения, включая по меньшей мере 16 сетей здравоохранения и чрезвычайных ситуаций в США.
Наиболее заметной стала атака Конти на Управление здравоохранения Ирландии (HSE) в мае 2021 года, в ходе которой группа потребовала выкуп в размере 20 миллионов долларов, который HSE отказалась платить.
То, что Conti уделяет особое внимание сектору здравоохранения, неудивительно. В отчете «Ретроспектива ландшафта угроз 2021 года» было обнаружено, что 24,7% случаев нарушения данных в здравоохранении были результатом атак с использованием выкупного ПО, а само выкупное ПО стало причиной 38% всех нарушений, о которых стало известно в прошлом году.
Какие уязвимости использует Conti и ее аффилированные лица?
Группы разработчиков Ransomware, такие как Conti, используют различные тактики для проникновения в сети потенциальных целей. К ним относятся фишинг, вредоносное ПО и атаки грубой силы на протокол удаленного рабочего стола.
Конти также была связана с EXOTIC LILY, группой брокеров первоначального доступа (IAB). IAB ориентированы на получение вредоносного доступа к организациям с целью продажи этого доступа группам и аффилированным лицам, занимающимся рассылкой вымогательского ПО. Однако эксплуатация уязвимостей аутентификации до и после также играет важную роль в атаках программ-вымогателей.
В рамках утечки информации о партнерских программах были видны сообщения о том, что Conti и ее филиалы использовали уязвимости PrintNightmare и Zerologon против целей. Однако ContiLeaks раскрыл еще 29 уязвимостей, используемых группой.
Кроме того, есть сообщения, что Conti и ее филиалы использовали уязвимости в Fortinet FortiOS, обнаруженные в устройствах Fortinet SSL VPN, для получения первоначального доступа к целевым средам.
Ниже приводится разбивка типов уязвимостей, используемых компанией Conti и ее аффилированными лицами:
Уязвимости начального доступа
| CVE | Description | CVSS Score | VPR |
|---|---|---|---|
| CVE-2018-13379 | Fortinet FortiOS Path Traversal/Arbitrary File Read Vulnerability | 9.8 | 9.8 |
| CVE-2018-13374 | Fortinet FortiOS Improper Access Control Vulnerability | 8.8 | 8.4 |
| CVE-2020-0796 | Windows SMBv3 Client/Server Remote Code Execution Vulnerability (“SMBGhost”) | 10 | 10.0 |
| CVE-2020-0609 | Windows Remote Desktop Gateway (RD Gateway) Remote Code Execution Vulnerability | 9.8 | 8.4 |
| CVE-2020-0688 | Microsoft Exchange Validation Key Remote Code Execution Vulnerability Vulnerability | 8.8 | 9.9 |
| CVE-2021-21972 | VMware vSphere Client Remote Code Execution Vulnerability | 9.8 | 9.5 |
| CVE-2021-21985 | VMware vSphere Client Remote Code Execution Vulnerability | 9.8 | 9.4 |
| CVE-2021-22005 | VMware vCenter Server Remote Code Execution Vulnerability | 9.6 | 9.4 |
| CVE-2021-26855 | Microsoft Exchange Server Remote Code Execution Vulnerability («ProxyLogon») | 9.8 | 9.9 |
*Обратите внимание: рейтинг приоритета уязвимостей Tenable (VPR) рассчитывается каждую ночь. Этот пост в блоге был опубликован 24 марта и отражает VPR в то время.
Уязвимости, связанные с несанкционированным получением прав
| CVE | Description | CVSS Score | VPR |
|---|---|---|---|
| CVE-2015-2546 | Win32k Memory Corruption Elevation of Privilege Vulnerability | 6.9 | 9.6 |
| CVE-2016-3309 | Windows Win32k Elevation of Privilege Vulnerability | 7.8 | 9.7 |
| CVE-2017-0101 | Windows Elevation of Privilege Vulnerability | 7.8 | 9.7 |
| CVE-2018-8120 | Windows Win32k Elevation of Privilege Vulnerability | 7 | 9.8 |
| CVE-2019-0543 | Microsoft Windows Elevation of Privilege Vulnerability | 7.8 | 9.0 |
| CVE-2019-0841 | Windows Elevation of Privilege Vulnerability | 7.8 | 9.8 |
| CVE-2019-1064 | Windows Elevation of Privilege Vulnerability | 7.8 | 9.2 |
| CVE-2019-1069 | Windows Task Scheduler Elevation of Privilege Vulnerability | 7.8 | 9.0 |
| CVE-2019-1129 | Windows Elevation of Privilege Vulnerability | 7.8 | 8.9 |
| CVE-2019-1130 | Windows Elevation of Privilege Vulnerability | 7.8 | 6.7 |
| CVE-2019-1215 | Windows Elevation of Privilege Vulnerability | 7.8 | 9.5 |
| CVE-2019-1253 | Windows Elevation of Privilege Vulnerability | 7.8 | 9.7 |
| CVE-2019-1315 | Windows Error Reporting Manager Elevation of Privilege Vulnerability | 7.8 | 9.0 |
| CVE-2019-1322 | Microsoft Windows Elevation of Privilege Vulnerability | 7.8 | 9.0 |
| CVE-2019-1385 | Windows AppX Deployment Extensions Elevation of Privilege Vulnerability | 7.8 | 5.9 |
| CVE-2019-1388 | Windows Certificate Dialog Elevation of Privilege Vulnerability | 7.8 | 8.4 |
| CVE-2019-1405 | Windows UPnP Service Elevation of Privilege Vulnerability | 7.8 | 9.7 |
| CVE-2019-1458 | Win32k Elevation of Privilege Vulnerability | 7.8 | 9.7 |
| CVE-2020-0638 | Update Notification Manager Elevation of Privilege Vulnerability | 7.8 | 5.9 |
| CVE-2020-0787 | Windows Background Intelligent Transfer Service Elevation of Privilege Vulnerability | 7.8 | 9.7 |
| CVE-2020-1472 | Windows Netlogon Elevation of Privilege Vulnerability («Zerologon») | 10 | 10.0 |
| CVE-2021-1675 | Windows Print Spooler Remote Code Execution Vulnerability | 8.8 | 9.8 |
| CVE-2021-1732 | Windows Win32k Elevation of Privilege Vulnerability | 7.8 | 9.7 |
| CVE-2021-34527 | Windows Print Spooler Remote Code Execution Vulnerability («PrintNightmare») | 8.8 | 9.8 |
В Tenable также знают, что Conti и ее филиалы использовали CVE-2021-44228, также известный как Log4Shell, в рамках атак, начинающихся в конце 2021 года.
Использование уязвимостей, связанных с повышением привилегий
При рассмотрении влияния различных уязвимостей, раскрытых конкретно в сообщениях ContiLeaks, обнаруживается интересная закономерность: почти три четверти уязвимостей в списке — это уязвимости с повышением привилегий, что говорит о том, что группа в основном использует уязвимости, поддерживающие действия после эксплуатации.
Учитывая, что эта группа и ее филиалы могут найти различные точки входа в организацию вне уязвимостей, но для того, чтобы посеять хаос, им необходимо повысить привилегии, неудивительно, что большая часть их инструментария по уязвимостям сосредоточена на повышении привилегий.
Conti и Active Directory
Благодаря ContiLeaks теперь знаем, что Conti следует определенному набору шагов, как только попадает в сеть. Чтобы атаковать Active Directory (AD), группа будет искать привилегии администратора домена, что является обычным явлением для программ-вымогателей.
Для групп вымогателей – Active Directory является ценным инструментом, помогающим достичь намеченной цели — зашифровать системы в сети организации.
По данным BreachQuest, Conti и ее филиалы будут пытаться использовать Zerologon для получения привилегий администратора домена или будут искать «потенциально интересных людей» в AD организации.
Группа и ее филиалы нацелены на AD с помощью различных средств, в том числе:
· ADFind
· BloodHound
· Steal or Forge Kerberos Tickets («Kerberoasting»)
· OS Credential Dumping: NTDS
Решение
Большинство уязвимостей, используемых группой программ-вымогателей Conti и ее филиалами, были исправлены за последние несколько лет. Самая старая уязвимость в этом списке была исправлена шесть лет назад в 2015 году.
Идентификация уязвимых систем
Список плагинов Tenable для выявления этих уязвимостей можно найти здесь.
Чтобы клиенты могли выявить все известные уязвимости, используемые группой вымогателей Conti и ее филиалами, Tenable скоро выпустит шаблоны сканирования, а панели инструментов для Tenable.io, Tenable.sc и Nessus Professional доступны уже сейчас.
Шаблон сканирования ContiLeaks
Панель мониторинга ContiLeaks для Tenable.io
Панель мониторинга ContiLeaks для Tenable.sc
Отчет ContiLeaks от Tenable.sc
Для получения дополнительной информации о панелях мониторинга и отчетах, пожалуйста, обратитесь к следующим статьям:
· ContiLeaks Tenable.io приборная панель
· Панель мониторинга ContiLeaks SC
· Шаблон отчета ContiLeaks SC
Индикаторы экспозиционного представления в Tenable.ad
Для клиентов, которые хотят защищать Active Directory есть решение — Tenable.ad для обнаружения и предотвращения в виде индикаторов воздействия (IoE) и индикаторов атак (IoA). IoE — это упреждающий способ поиска и устранения пробелов в инфраструктуре AD для устранения путей атак для групп программ-вымогателей и других киберпреступников, в то время как IoA обнаруживают атаки в режиме реального времени.
Пример предупреждения IOA о «распылении паролей»
Ниже приведен список IoEs и IoAs, полученных из результатов в ContiLeaks:
| Tactics | MITRE ATT&CK | Solutions | Type |
|---|---|---|---|
| Discovery (e.g. BloodHound) | T1087.001, T1087.002, T1106, T1069.001, T1069.002 | Enumeration of local administrators | IoA |
| Privilege Escalation (Golden Ticket) | T1558.001 | GoldenTicket | IoA |
| Privilege Escalation (Zerologon) | T1068 | Unsecured configuration of Netlogon protocol | IoE |
| Credential Access (Bruteforce, Password Spraying) | T1110.001, T1110.002, T1110.003, T1110.004 | Password Guessing | IoA |
| Credential Access (Collection and decryption of GPP Passwords) | T1552.006 | Reversible passwords in GPO | IoE |
| Credential Access (ntds.dit) | T1003.003 | NTDS Extraction | IoA |
| Credential Access (Encrypted Passwords) | T1003.003 | Reversible passwords | IoE |
| Credential Access (Kerberoasting) | T1558.003 | Kerberoasting | IoA |
| Credential Access (Mimikatz) | T1003.001 | OS Credential Dumping: LSASS Memory | IoA |
Получить дополнительную информацию
· Conti ransomware gang chats leaked by pro-Ukraine member
· The Conti Leaks | Insight into a Ransomware Unicorn
Источник: https://bit.ly/3xfQv5n
