Costa Rica: ultimo attacco ransomware di Conti
Topic
Approfondimenti
Trending
tutti

Costa Rica: ultimo attacco ransomware di Conti

L'attacco ransomware effettuato dal gruppo Conti nel mese di aprile è stato l'ultimo prima dello scioglimento e la creazione di vari gruppi separati.
Costa Rica: ultimo attacco ransomware di Conti
Sicurezza Antivirus Antivirus
L'attacco ransomware effettuato dal gruppo Conti nel mese di aprile è stato l'ultimo prima dello scioglimento e la creazione di vari gruppi separati.

Prima di chiudere le attività con il nome Conti, il gruppo di cybercriminali ha messo a segno uno degli attacchi ransomware più devastanti in assoluto contro la Costa Rica. Gli esperti di AdvIntel hanno pubblicato un report dettagliato che illustra le tecniche e i tool utilizzati durante l’intrusione durata cinque giorni.

Anatomia dell’attacco contro la Costa Rica

L’attacco ransomware della gang Conti è iniziato l’11 aprile con l’avvio della fase di “ricognizione”, ovvero l’individuazione dei possibili target. I cybercriminali hanno scelto come punto di accesso iniziale i sistemi informatici del Ministero delle Finanze. Successivamente hanno colpito altre istituzioni governative. Il Presidente Rodrigo Chaves ha dichiarato lo stato di emergenza nazionale, ma non è stato pagato nessun riscatto (come dimostra la pubblicazione di circa 670 GB di dati).

L’ingresso nella rete del Ministero delle Finanze è stato effettuato con le credenziali di accesso di una VPN (rubate da un computer con un altro malware). Successivamente è stata installata una versione cifrata di Cobalt Strike e ottenuto i privilegi di amministrazione del dominio di rete locale.

I cybercriminali hanno quindi usato il comando Nltest per scoprire l’elenco dei controller di dominio e i tool ShareFinder e AdFind per individuare i file condivisi. Utilizzando Mimikatz è stato invece effettuato il dump delle password e degli hash NTDS. Dopo aver trovato le credenziali di amministratore, il gruppo Conti ha effettuato attacchi DCSync e Zerologon per ottenere l’accesso a tutti gli host connessi alla rete locale.

Per mantenere l’accesso è stato installato il tool di gestione remota di Atera. Utilizzando il tool Rclone sono stati quindi rubati i dati e caricati sul servizio di cloud storage MEGA. Contrariamente a quanto trapelato, il riscatto era inferiore a un milione di dollari.

Per proteggere i computer e la rete da un attacco ransomware è necessario adottare una serie di misure preventive e protettive, come un piano di backup offline e l’uso di soluzioni di sicurezza che includono antivirus e firewall. Tra le migliori sul mercato ci sono quelle di Bitdefender.

Fonte: AdvIntel

Pubblicato il 22 lug 2022

Link copiato negli appunti

Ti potrebbe interessare

Costarica: stato di emergenza a causa del ransomware Conti

Costarica: stato di emergenza a causa del ransomware Conti
Costa Rica: ransomware per rovesciare il governo?

Costa Rica: ransomware per rovesciare il governo?
Conti chiude, ma gli attacchi ransomware continuano

Conti chiude, ma gli attacchi ransomware continuano
Conti ha colpito oltre 40 aziende in un mese

Conti ha colpito oltre 40 aziende in un mese
Costarica: stato di emergenza a causa del ransomware Conti

Costarica: stato di emergenza a causa del ransomware Conti
Costa Rica: ransomware per rovesciare il governo?

Costa Rica: ransomware per rovesciare il governo?
Conti chiude, ma gli attacchi ransomware continuano

Conti chiude, ma gli attacchi ransomware continuano
Conti ha colpito oltre 40 aziende in un mese

Conti ha colpito oltre 40 aziende in un mese
Luca Colantuoni
Pubblicato il
22 lug 2022
Link copiato negli appunti