Costa Rica: ultimo attacco ransomware di Conti

Costa Rica: ultimo attacco ransomware di Conti

L'attacco ransomware effettuato dal gruppo Conti nel mese di aprile è stato l'ultimo prima dello scioglimento e la creazione di vari gruppi separati.
L'attacco ransomware effettuato dal gruppo Conti nel mese di aprile è stato l'ultimo prima dello scioglimento e la creazione di vari gruppi separati.

Prima di chiudere le attività con il nome Conti, il gruppo di cybercriminali ha messo a segno uno degli attacchi ransomware più devastanti in assoluto contro la Costa Rica. Gli esperti di AdvIntel hanno pubblicato un report dettagliato che illustra le tecniche e i tool utilizzati durante l’intrusione durata cinque giorni.

Anatomia dell’attacco contro la Costa Rica

L’attacco ransomware della gang Conti è iniziato l’11 aprile con l’avvio della fase di “ricognizione”, ovvero l’individuazione dei possibili target. I cybercriminali hanno scelto come punto di accesso iniziale i sistemi informatici del Ministero delle Finanze. Successivamente hanno colpito altre istituzioni governative. Il Presidente Rodrigo Chaves ha dichiarato lo stato di emergenza nazionale, ma non è stato pagato nessun riscatto (come dimostra la pubblicazione di circa 670 GB di dati).

L’ingresso nella rete del Ministero delle Finanze è stato effettuato con le credenziali di accesso di una VPN (rubate da un computer con un altro malware). Successivamente è stata installata una versione cifrata di Cobalt Strike e ottenuto i privilegi di amministrazione del dominio di rete locale.

I cybercriminali hanno quindi usato il comando Nltest per scoprire l’elenco dei controller di dominio e i tool ShareFinder e AdFind per individuare i file condivisi. Utilizzando Mimikatz è stato invece effettuato il dump delle password e degli hash NTDS. Dopo aver trovato le credenziali di amministratore, il gruppo Conti ha effettuato attacchi DCSync e Zerologon per ottenere l’accesso a tutti gli host connessi alla rete locale.

Per mantenere l’accesso è stato installato il tool di gestione remota di Atera. Utilizzando il tool Rclone sono stati quindi rubati i dati e caricati sul servizio di cloud storage MEGA. Contrariamente a quanto trapelato, il riscatto era inferiore a un milione di dollari.

Per proteggere i computer e la rete da un attacco ransomware è necessario adottare una serie di misure preventive e protettive, come un piano di backup offline e l’uso di soluzioni di sicurezza che includono antivirus e firewall. Tra le migliori sul mercato ci sono quelle di Bitdefender.

Questo articolo contiene link di affiliazione: acquisti o ordini effettuati tramite tali link permetteranno al nostro sito di ricevere una commissione.

Fonte: AdvIntel
Link copiato negli appunti

Ti potrebbe interessare

Pubblicato il 22 lug 2022
Link copiato negli appunti