Så jobbar Conti – cyberkriminella som hellre stjäl än låser upp data

En av de mer aggressiva cyberkriminella grupperna med fokus på gisslanattacker (ransomware) som dykt upp de senaste två åren går under namnet Conti; en grupp som drabbat stora företag såväl som myndigheter och organisationer inom sjukvården. Säkerhetsexperter varnar för att Conti, till skillnad från andra gisslangrupper som är måna om att hjälpa de offer som betalar, inte alltid levererar vad de lovar.

”De mer framgångsrika gisslangrupperna brukar i allmänhet vinnlägga sig om att etablera och upprätthålla någon slags ”integritet” när det kommer till att främja betalningar från de som drabbats”, står det i en analysrapport från Palo Alto Networks.

”De vill etablera ett rykte av att ge bra ”kundservice” och av att leverera vad de lovar, det vill säga att om du betalar lösensumman så kommer du att kunna kryptera upp dina filer och de kommer inte att läcka ut. Men vår erfarenhet av att hjälpa kunder som attackerats av Conti visar att den gruppen inte alls bryr sig om sitt rykte”, fortsätter Palo Alto Networks rapport.

Conti dök för första gången upp på banan i slutet av 2019 och har sakta men säkert utvecklats till att bli en dominerande grupp inom så kallad ransomware-as-a-service (RaaS). Gruppen anses ha någon slags koppling till gisslanprogrammet Ryuk som användes av en rysk cyberkriminell grupp under namnet Wizard Spider.

De amerikanska myndigheterna Cisa och FBI gick nyligen ut med en varning att de observerat över 400 fall där Contis gisslanprogram använts mot organisationer både i USA och internationellt.

Enligt it-säkerhetsföretaget Recorded Future var Conti den variant av gisslanprogram som i september 2021 stod bakom det näst största antalet drabbade organisationer efter Lockbit.

Conti opererar också lite annorlunda än andra RaaS-grupper. De flesta grupper arbetar tillsammans med partner som de kallar ”dotterbolag” för att attackera sina offer och rulla ut den skadliga koden och tar då en andel av lösensumman, medan Conti tros betala månadslön till sina utvecklare.

Så får Conti fotfäste i nätverket

De angripare som använder Conti tillgriper ett antal metoder för att skaffa sig ett fotfäste, inklusive att köpa tillgång från andra grupper som redan brutit sig in, så kallade förmedlare av tillgång. Liksom Ryuk använder sig Conti av den skadliga koden Trickbot för att skaffa sig tillgång, men även andra typer av trojaner som till exempel IcedID.

Dessa trojaner, i sin tur, distribueras typiskt genom riktade nätfiskeattacker per e-post med skadliga länkar eller dito bifogade Word-dokument. En annan vanlig metod går via stulna eller svaga inloggningsuppgifter till Remote Desktop Protocol (RDP)-servrar, en metod som gäller både för Conti såväl som för andra grupper.

Andra metoder som Conti använder för att skaffa sig tillgång, och som nämns i rådgivningen från Cisa och FBI, är falska mjukvaror för sökmotoroptimering (SEO), nätverk för distribution av skadlig kod som ZLoader, och utnyttjande av externa it-resurser.

När it-säkerhetsföretaget Sophos undersökte intrång som resulterade i utrullning av Conti hade angriparna utnyttjat sårbar inbyggd mjukvara i Fortigates brandväggar.

Så sprider sig Conti i nätverket

När väl ett fotfäste etablerats inom företagets nätverk använder sig angriparna av en uppsättning verktyg för att kartlägga nätverket och utöka tillgången. Säkerhetsexperter har observerat att angriparna använder attack-ramverket Cobalt Strike och ett penetrationsverktyg kallat Router Scan som kan avläsa och attackera inloggningsuppgifter i webbgränssnitten till routrar, kameror och nätverksanslutna lagringsenheter.

Angriparna kan även sätta in attacker mot inloggningssystemet Kerberos med målet att komma över hashen av administratörens lösenord, och sen försöka knäcka det. Många cyberkriminella grupper, inklusive Conti, använder sig av vanligt förekommande verktyg som Windows Sysinternal eller Mimikatz för att skaffa sig tillgång till hashar eller klartext av användarnas lösenord, som sedan kan ge angriparna möjlighet att höja upp sina rättigheter och ta sig vidare inom domänen.

Man har också observerat att Contis ”dotterbolag” exploaterat välkända sårbarheter i Windows som SMB Server (inklusive Eternalblue), Printnightmare (CVE-2021-34527) i Windows skrivartjänst, eller Zerologon (CVE-2020-1472) i Microsofts domänkontrollanter för Active Directory.

Så krypterar Conti dina filer och raderar backuperna

Istället för att direkt rulla ut gisslanprogrammet brukar Conti luta sig mot mer lättviktiga lastare (loaders) som har förmågan att undgå antivirus. Gruppen har använt Cobalt Strike och Meterpreter (Metasploit) såväl som en lastare som kallas ”getuid” för att injicera gisslanprogrammet direkt in i arbetsminnet på datorerna.

I en analysrapport från Sophos från tidigare i år, står det att ”eftersom dessa undvikande lastare levererar gisslanprogrammet in i arbetsminnet, utan att någonsin skriva in binären i filsystemet, kan angriparna eliminera den akilleshäl som de flesta andra familjer av gisslanprogram dras med: Det kommer inte att lämnas kvar några spår av gisslanprogrammet för ens den mest durkdrivna utredaren att upptäcka och studera”.

Gisslanprogrammet kan också fördunkla sina strängar och anrop till Windows API genom att använda hashvärden istället för API-funktioner och lägga på ytterligare ett lager av kryptering. Allt detta görs för att försvåra upptäckt både av automatiserade system och genom manuellt analys.

En annan intressant aspekt med Conti är att det har stöd för kommandoparametrar som instruerar gisslanprogrammet att antingen kryptera en hela den lokala disken, en viss nätverksdisk eller till och med en lista med nätverksdiskar definierade i en fil.

”Den speciella effekten med denna förmåga är att den kan orsaka riktade skador in en miljö, med en metod som kan omintetgöra responsaktiviteter”, skriver säkerhetsexperter från VMware i en analysrapport.

”En framgångsrik attack kan orsaka skador som är begränsade till de nätverksdiskar på en server som inte har kontakt med internet, men där det saknas belägg för att någon liknande skada har orsakats i andra delar av miljön. Detta får även effekten att reducera det allmänna ”bruset” som en gisslanattack ger upphov till när hundratals system omedelbart visar tecken på smitta. Istället kan det ta dagar eller veckor innan krypteringen märks, och då först när en användare försöker komma åt data”, skriver VMware.

Conti använder AES-256-algoritmen för att kryptera filer tillsammans med en publik nyckel som är hårdkodad i gisslanprogrammet. Detta betyder att varje binär är specifikt framtagen för varje offer, annars skulle inte varje offer få ett unikt nyckelpar. Det medför också att programmet kan kryptera filer även om det inte har kontakt med en kontrollserver (command-and-control).

Conti lägger också en hel del möda på att komplicera återställning. Den skadliga koden börjar med att inaktivera och radera kopian av Windows Volume Shadow, sedan itererar den igenom cirka 160 kommandon för att inaktivera olika systemtjänster i Windows, exempelvis backup-lösningar från tredje part som Acronis VSS Provider, Enterprise Client Service, SQLsafe Backup Service, SQLsafe Filter Service, Veeam Backup Catalog Data Service och AcronisAgent.

Datastöld som lök på laxen

Som om allt ovan inte vore nog räcker det inte för Conti att ”bara” radera säkerhetskopiorna. Enligt en rapport från it-säkerhetsföretaget AdvIntel nyttjar Conti även backup-tjänsterna för att tanka ut data som de senare kan använda för att utpressa sina offer med hot om att läcka ut känsliga data.

Enligt rapporten ”jagar Conti efter privilegierade användarkonton i Veeam för att få tillgång till, dra ut, ta bort och kryptera säkerhetskopior – allt för att se till att systemet inte ska gå att återställa. På detta sätt kan Conti tanka ut data för utpressning samtidigt som offrets försök att snabbt återställa data blir chanslösa eftersom säkerhetskopiorna är borta”.

Man har även observerat hur Conti använder öppen källkods-verktyget Rclone för att ladda upp företagsdata till molnbaserade lagringstjänster som Mega.

Som de flesta gisslangrupper idag håller sig även Conti med en webbsajt där de postar information om nya offer. Gruppen har på senare tid blivit irriterade på att deras förhandlingar med sina offer om lösensummor läckt ut i media.

Irritationen beror på att denna slags förhandlingar sker genom ”betalsajter” som är specifika per drabbad organisation och sätts upp av angriparna och där adressen ofta anges i kravbreven. Om brevet laddas upp till tjänster som VirusTotal kan säkerhetsexperter hitta sajterna och indirekt avläsa kommunikationen mellan parterna. I en nyligen publicerad bloggpost hotar Conti med att publicera data från offret om kommunikationen läcker ut medan förhandlingarna pågår.

Precis detta hände nyligen den japanska elektroniktillverkaren JVC Kenwood som drabbats av en attack från Conti. Gruppen skrev då att ”igår, till exempel, fick vi reda på att vår chat med JVC Kenwood, som vi attackerade för en vecka sedan, rapporterats till journalister”.

”Oavsett vad som står i artikeln gick förhandlingarna normalt. Men eftersom publiceringen skedde mitt i förhandlingarna har detta medfört att vi fattat beslutet att avsluta förhandlingarna med JVC Kenwood och publicera deras data. JVC Kenwood har redan informerats. Dessutom har vi denna vecka återigen sett skärmdumpar cirkulera i sociala media från våra förhandlingar,” skriver Conti.

Dessutom har Conti varnat för att om förhandlingarna läcker ut efter att lösensumman betalts, och offrets filer har raderats, kommer gruppen att publicera data från ett annat offer som en slags kollektiv bestraffning.

Så motverkar du Contis attacker

Den gemensamma rådgivningen från FBI och Cisa innehåller generella råd och ytterligare resurser: Att använda flerfaktorsautentisering, att segmentera nätverket och implementera trafikfiltrering, att skanna efter sårbarheter, se till att all mjukvara är uppdaterad, ta bort onödig mjukvara och begränsa vad mjukvara kan utföra, begränsa fjärråtkomst via till exempel RDP, se över och begränsa administratörskonton, och implementera skydd och verktyg för datorer som kan reagera när angrepp upptäcks.

Rådgivningen innehåller också en länk till en lista över ”Conti Indicators of Compromise” (IOCs), och i ramverket MITRE ATT&CK beskrivs de tekniker och procedurer som används av Conti.