Prima di chiudere le attività con il nome Conti, il gruppo di cybercriminali ha messo a segno uno degli attacchi ransomware più devastanti in assoluto contro la Costa Rica. Gli esperti di AdvIntel hanno pubblicato un report dettagliato che illustra le tecniche e i tool utilizzati durante l’intrusione durata cinque giorni.
Anatomia dell’attacco contro la Costa Rica
L’attacco ransomware della gang Conti è iniziato l’11 aprile con l’avvio della fase di “ricognizione”, ovvero l’individuazione dei possibili target. I cybercriminali hanno scelto come punto di accesso iniziale i sistemi informatici del Ministero delle Finanze. Successivamente hanno colpito altre istituzioni governative. Il Presidente Rodrigo Chaves ha dichiarato lo stato di emergenza nazionale, ma non è stato pagato nessun riscatto (come dimostra la pubblicazione di circa 670 GB di dati).
L’ingresso nella rete del Ministero delle Finanze è stato effettuato con le credenziali di accesso di una VPN (rubate da un computer con un altro malware). Successivamente è stata installata una versione cifrata di Cobalt Strike e ottenuto i privilegi di amministrazione del dominio di rete locale.
I cybercriminali hanno quindi usato il comando Nltest per scoprire l’elenco dei controller di dominio e i tool ShareFinder e AdFind per individuare i file condivisi. Utilizzando Mimikatz è stato invece effettuato il dump delle password e degli hash NTDS. Dopo aver trovato le credenziali di amministratore, il gruppo Conti ha effettuato attacchi DCSync e Zerologon per ottenere l’accesso a tutti gli host connessi alla rete locale.
Per mantenere l’accesso è stato installato il tool di gestione remota di Atera. Utilizzando il tool Rclone sono stati quindi rubati i dati e caricati sul servizio di cloud storage MEGA. Contrariamente a quanto trapelato, il riscatto era inferiore a un milione di dollari.
Per proteggere i computer e la rete da un attacco ransomware è necessario adottare una serie di misure preventive e protettive, come un piano di backup offline e l’uso di soluzioni di sicurezza che includono antivirus e firewall. Tra le migliori sul mercato ci sono quelle di Bitdefender.