Il CISA ha aggiornato il suo avviso sul ransomware Conti con i nuovi indicatori di compromissione (IoC). L’avviso aggiornato ora include circa 100 nomi di dominio impiegati dalla banda criminale nelle sue attività dannose.
L’avviso aggiornato su Conti
L’ avviso (come riportato da Bleeping Computer) include dettagli osservati sia dal CISA che dall’FBI negli attacchi ransomware Conti rivolti alle organizzazioni statunitensi. Inoltre, l’avviso aggiornato include i dati dei servizi segreti statunitensi.
L’agenzia ha rilasciato un lotto di 98 nomi di dominio che condividevano caratteristiche di registrazione e denominazione simili a quelle utilizzate negli attacchi di Conti da parte di gruppi che diffondono il malware.
Inoltre, l’agenzia ha osservato che i domini sono stati utilizzati in operazioni malevole e alcuni di essi potrebbero essere stati abbandonati o, per coincidenza, condividere caratteristiche simili.
Conti è attivo in questo momento?
Si, il gruppo di ransomware Conti rimane attivo anche dopo le recenti fughe di codice sorgente di febbraio. Finora, ha preso di mira più di 1.000 organizzazioni negli Stati Uniti e in altri stati. C’è da notare che al momento sembra non essere raggiungibile l’indirizzo onion (data leak site sotto rete Tor) originale.
Questo mese, Conti ha già preso di mira due dozzine di vittime nel Regno Unito, negli Stati Uniti, in Svizzera, Canada, Italia, Serbia, Arabia Saudita e Germania.
Inoltre, alcuni dei vettori di attacco osservati utilizzati da Conti includono Cobalt Strike e Trickbot.
La recente fuga di dati interni, ha sicuramente allarmato il gruppo, ma non sembra aver influito sulle attività di Conti. Le organizzazioni dovrebbero seguire le strategie di mitigazione e le raccomandazioni fornite nell’avviso. Inoltre, gli amministratori impegnati nel settore sicurezza, possono utilizzare gli IoC forniti per un migliore rilevamento delle minacce.