In totale, sono stati registrati più di 400 attacchi utilizzando il ransomware Conti.
La Cyber and Infrastructure Security Agency (CISA) ha pubblicato una newsletter sul ransomware Conti. Il documento per la comunità della sicurezza informatica ha fornito informazioni dettagliate sul gruppo e sui suoi partner.
In totale, secondo CISA e FBI sono stati segnalati più di 400 attacchi ransomware Conti contro organizzazioni statunitensi e aziende internazionali. CISA ha fornito informazioni tecniche su come opera il gruppo ransomware e quali misure possono intraprendere le organizzazioni per prevenire potenziali attacchi.
Sebbene Conti utilizzi un modello di business ransomware-as-a-service, il gruppo opera in modo leggermente diverso dagli altri criminali, hanno osservato gli esperti. Secondo la CISA, il gruppo non paga ai partner una parte dei proventi del riscatto, ma paga gli stipendi.
Secondo il direttore della sicurezza informatica della NSA, Rob Joyce (Rob Joyce), gli operatori di Conti stanno prendendo di mira le infrastrutture critiche. Il numero di attacchi che utilizzano Conti è in aumento. Joyce ha esortato le organizzazioni a utilizzare l’autenticazione a più fattori, segmentare le loro reti, scansionarle alla ricerca di vulnerabilità e tenersi al passo con tutte le correzioni.
I membri di Conti utilizzano una varietà di metodi e strumenti per infiltrarsi nei sistemi, comprese campagne di phishing mirate, software di monitoraggio e controllo remoto e software desktop remoto.
Le campagne di phishing mirate hanno utilizzato e-mail contenenti allegati o collegamenti dannosi. Gli allegati dannosi di Microsoft Word contengono spesso script incorporati per scaricare o installare altri malware come TrickBot e IcedID e/o Cobalt Strike.
A volte il gruppo e i suoi partner utilizzano strumenti che sono già sulla rete della vittima, oppure eseguono Windows Sysinternals e Mimikatz per rubare credenziali in chiaro. In questo modo, gli hacker elevano i privilegi sul sistema ed eseguono altre attività dopo lo sfruttamento e lo spostamento nella rete.