O grupo de hackers que opera o Conti executa um dos ataques de ransomware mais agressivos e cresceu altamente organizado, a ponto de afiliados conseguirem hackear mais de 40 empresas em pouco mais de um mês. Pesquisadores de segurança descrevem a campanha executada pelos hackers como uma das “mais produtivas” e “extremamente eficazes” do grupo.
Relatório da empresa de segurança cibernética Group-IB diz que uma das “campanhas mais produtivas” do Conti ocorreu no ano passado, entre 17 de novembro e 20 de dezembro de 2021. Os pesquisadores da empresa descobriram a onda de hacks de um mês do grupo durante as atividades de resposta a incidentes e o apelidaram de ARMattack, com base em um nome de domínio que expôs a infraestrutura da gangue.
Durante a campanha, os afiliados do Conti conseguiram comprometer mais de 40 organizações em vários setores de atividade que operam em uma ampla geografia, mas com foco em empresas sediadas nos EUA.
Um porta-voz do Group-IB disse ao BleepingComputer que o ARMattack foi muito rápido e explicou que o relatório da empresa se refere a organizações que tiveram suas redes comprometidas. Não se sabe se alguma das vítimas pagou o resgate exigido pelo agressor. Vale notar que, embora o site de vazamento do Conti tenha publicado dados de até 46 vítimas em apenas um mês — por exemplo, abril de 2022 —, a data do comprometimento permanece incerta.
Com base nos dados do Group-IB, o ataque bem-sucedido mais curto da Conti durou apenas três dias, desde o tempo de acesso inicial até a criptografia dos sistemas da organização. “Depois de obter acesso à infraestrutura de uma empresa, os operadores da ameaça exfiltram documentos específicos (na maioria das vezes para determinar com qual organização estão lidando) e procuram arquivos contendo senhas (texto simples e criptografado). Por fim, depois de adquirir todos os privilégios necessários e obter acesso a todos os dispositivos em que estão interessados, os hackers implantam o ransomware em todos os dispositivos e o executam”, diz o relatório do Group-IB.
Veja isso
Atividade do grupo hacker Conti atinge níveis alarmantes
Grupo Conti ameaça sistemas do governo da Costa Rica
Usando dados coletados de fontes públicas, como os chats internos vazados da quadrilha, o Group-IB vem analisando as “horas de trabalho” do Conti. De acordo com os pesquisadores, os membros do Conti estão ativos cerca de 14 horas todos os dias, exceto durante o feriado de Ano Novo, horário que responde por sua eficiência. O Grupo-IB diz que o grupo começa a trabalhar ao meio-dia (horário de Moscou) e se retira após as 21h. Os membros do Conti provavelmente estão dispersos em vários países e fusos horários.
Além disso, os pesquisadores destacam que o grupo funciona de forma semelhante a um negócio legítimo, com indivíduos encarregados de encontrar trabalhadores, pesquisa e desenvolvimento, executar trabalhos de OSINT (inteligência em código aberto) e fornecer suporte ao cliente.
Os esforços da Conti para ficar à frente das defesas incluem monitorar as atualizações do Windows e analisar as alterações de novos patches, além de descobrir vulnerabilidades de dia zero que podem ser usadas em ataques e explorar falhas de segurança recém-divulgadas.
“O aumento da atividade de Conti e o vazamento de dados sugerem que o ransomware não é mais um entre desenvolvedores de malware comuns, mas uma indústria de ronsomware-as-a-service [RaaS] que dá emprego a milhares de cibercriminosos em todo o mundo com várias especializações”, escreve Ivan Pisarev, chefe da equipe de análise dinâmica de malware da equipe de inteligência em ameaças do Group-IB.
O Conti se tornou uma ameaça tão grande que o governo dos EUA está oferecendo uma recompensa de até US$ 15 milhões por informações que levem à identificação e localização dos principais membros do grupo.