image

Technische handleidingen Conti-ransomwaregroep gelekt op internet

vrijdag 6 augustus 2021, 14:12 door Redactie, 4 reacties

Op internet zijn verschillende technische handleidingen van de Conti-ransomwaregroep verschenen waarin ip-adressen van gebruikte command & control-servers staan en het aanvallen van netwerken en stelen van data worden uitgelegd, zo melden verschillende beveiligingsonderzoekers via Twitter.

Volgens de onderzoekers zijn de documenten gelekt via een partner van de groep die aanvallen op netwerken uitvoert. De gelekte handleidingen zouden onder partners worden verspreid. Eén van deze partners publiceerde de bestanden en handleidingen op een forum voor cybercriminelen, waar het vervolgens door onderzoekers werd gedownload. Beveiligingsonderzoeker Vitali Kremez laat tegenover Bleeping Computer weten dat de handleidingen overeen komen met actieve gevallen van de Conti-ransomware.

De documenten bevatten onder andere screenshots van ip-adressen die de Conti-groep zou gebruiken voor Cobalt Strike-servers. Cobalt Strike is een tool voor het uitvoeren van penetratietests op systemen en netwerken. Het wordt echter ook gebruikt door aanvallers voor het verder compromitteren van aangevallen organisaties. Via de servers kunnen de aanvallers met besmette systemen binnen organisaties communiceren.

In de handleidingen wordt onder andere uitgelegd hoe de Rclone-software in combinatie met de MEGA-cloudopslagdienst moet worden gebruikt voor het stelen van data. Ook het gebruik van Netscan voor het scannen van interne netwerken, het gebruik van AnyDesk om systemen op afstand te benaderen, het dumpen van wachtwoorden van Active Directories (NTDS dumping), het gebruik van de Zerologon-kwetsbaarheid, het gebruik van Ngrok voor RDP-tunneling, het toepassen van SMB-bruteforce-aanvallen om domeinbeheerder te worden en het uitvoeren van een Kerberoasting-aanval worden besproken, zo blijkt uit een analyse van The DFIR Report.

De Belgische managed serviceprovider (MSP) ITxx besloot de criminelen achter de Conti-ransomware, die bestanden van klanten hadden versleuteld, vorige maand nog 300.000 dollar losgeld te betalen. Ook zat de groep achter de aanval op de Ierse gezondheidszorg en een groot Amerikaans schooldistrict. Volgens de FBI zou de Conti-groep wereldwijd meer dan vierhonderd organisaties hebben aangevallen.

Reacties (4)
06-08-2021, 14:32 door Anoniem
"een partner van de groep die aanvallen op netwerken uitvoert"

Dat klinkt als een gestructureerde criminele organisatie, iets waar de geheime diensten achteraan kunnen en een eind
aan kunnen maken. Gelukkig wordt dat tegenwoordig ook genoemd als aanpak dus ik hoop dat we binnenkort de eerste
arrestaties of andere manieren om deze figuren uit hun bed te krijgen gaan zien.
06-08-2021, 14:40 door lgend
lol
09-08-2021, 15:01 door Anoniem
Tja niks nieuws als ik het zo lees. Een bedrijf zou toch minstens een paar stappen kunnen verhinderen/moeilijker maken met de juiste controls.
09-08-2021, 23:07 door Anoniem
Technische handleidingen Conti-ransomwaregroep door ontevreden/onderbetaalde "werknemers" gedumpt was misschien een pakkender kop geweest.

Niets nieuws onder de zon gebeurd ook bij "normale" , "eerlijke" bedrijven dat werknemers zaken naar buiten brengen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.