Cisco heeft de vertaalde handleidingen gepubliceerd die de criminelen achter de Conti-ransomware gebruiken voor het uitvoeren van aanvallen op organisaties. Begin augustus verschenen verschillende technische handleidingen van de Conti-groep op internet. Ze zouden zijn gelekt door een ontevreden partner van de groep die tegen betaling aanvallen op netwerken uitvoert.

Conti betaalt deze partners voor het binnendringen van netwerken van organisaties. Via deze toegang wordt vervolgens de ransomware uitgerold. De gelekte handleidingen zouden onder partners worden verspreid zodat ze deze aanvallen kunnen uitvoeren. Eén van deze partners publiceerde de bestanden en handleidingen op een forum voor cybercriminelen, waar ze vervolgens door onderzoekers werden gedownload.

Al gauw verschenen automatisch vertaalde versies van de handleidingen online. Cisco heeft de Russische handleidingen door Russisch sprekende medewerkers laten vertalen. Volgens het bedrijf is dit interessant voor de securitygemeenschap aangezien de automatisch vertaalde versies verschillende belangrijke inzichten zouden missen. Vooral het detail van de handleidingen valt op, aldus Cisco.

"De gegeven details laten zelfs amateuraanvallers vernietigende ransomware-aanvallen uitvoeren", zegt onderzoeker Caitlin Huey. De handleidingen beschrijven verschillende technieken en procedures en het gebruik van allerlei tools, waaronder Cobalt Strike. Dit is een legitieme tool voor het uitvoeren van penetratietests op systemen en netwerken. Het wordt echter ook gebruikt door aanvallers voor het verder compromitteren van aangevallen organisaties.

Verder maakt de Conti-groep onder andere gebruik van Armitage, SharpView, SharpChrome en SeatBelt, tools die volgens Cisco niet vaak door ransomwaregroepen worden toegepast. Via de tools is het mogelijk om exploits en scans uit te voeren, credentials te dumpen en systeemgegevens te verzamelen. Ook bevatten de handleidingen instructies voor het gebruik van de Zerologon-exploit voor Windows.

"Deze documentatie biedt zowel ervaren criminelen als die nieuw zijn de mogelijkheid om grootschalige vernietigende campagnes uit te voeren. Dit laat zien dat hoewel sommige van de technieken die deze groepen gebruiken geraffineerd zijn, de aanvallers die de daadwerkelijke aanvallen uitvoeren helemaal niet zo geavanceerd hoeven te zijn", gaat Huey verder.

Met de publicatie van de vertaalde handleidingen wil Cisco verdedigers en securityprofessionals meer inzicht geven in de technieken, tactieken en procedures van deze aanvallers. "Deze vertaling kan worden gezien als een kans voor verdedigers om meer grip te krijgen op hoe deze groepen opereren en de tools die ze bij deze aanvallen gebruiken."