安全研究人員pancak3分享了一個(gè)反水的Conti加盟機(jī)構(gòu)成員發(fā)布的論壇帖子,該成員公開(kāi)泄露了有關(guān)勒索軟件操作的信息。
Conti是近年來(lái)最為活躍和危險(xiǎn)的勒索軟件團(tuán)伙之一。該組織采用勒索軟件即服務(wù) (RaaS) 的運(yùn)營(yíng)模式,其中核心團(tuán)隊(duì)管理惡意軟件和Tor站點(diǎn),而招募的聯(lián)盟機(jī)構(gòu)則執(zhí)行網(wǎng)絡(luò)漏洞和數(shù)據(jù)加密攻擊。核心團(tuán)隊(duì)賺取贖金的20~30%,而附屬公司賺取其余部分。
上圖是該團(tuán)伙的培訓(xùn)材料,勒索軟件的攻擊手冊(cè)也在其中
近日,安全研究人員pancak3分享了一個(gè)反水的Conti加盟機(jī)構(gòu)成員發(fā)布的論壇帖子,該成員公開(kāi)泄露了有關(guān)勒索軟件操作的信息。該信息包括Cobalt Strike C2服務(wù)器的IP地址(下圖,pancak3強(qiáng)烈建議立刻封鎖圖片中的IP地址)和一個(gè)113MB的檔案,其中包含大量用于進(jìn)行勒索軟件攻擊的工具和培訓(xùn)材料。
該成員還表示,他發(fā)布這些材料的原因是在一次攻擊后的分贓中只獲得了1,500美元,而團(tuán)隊(duì)的其他成員卻將賺取數(shù)百萬(wàn)美元。一位威脅情報(bào)專家指出,此次泄露的攻擊手冊(cè)與Conti的活躍案例相符,基本可以確認(rèn)是真實(shí)泄露。
此次泄密暴露出勒索軟件團(tuán)伙的組織成熟度,以及他們?cè)卺槍?duì)全球公司發(fā)動(dòng)攻擊時(shí)使用的流程和經(jīng)驗(yàn)。同時(shí)也暴露了勒索軟件即服務(wù)操作的脆弱性,因?yàn)槿魏我粋€(gè)不滿意的加盟成員都可能會(huì)導(dǎo)致攻擊中使用的精心制作的培訓(xùn)信息和資源暴露。
作為勒索軟件的頂級(jí)玩家,Conti勒索軟件“滲透測(cè)試”團(tuán)隊(duì)的操作手冊(cè)同時(shí)也是滲透測(cè)試操作的“圣杯”。因此這次泄露將產(chǎn)生積極的影響,防御端的滲透測(cè)試人員可以通過(guò)這些資料來(lái)逐步提高滲透測(cè)試技能以應(yīng)對(duì)勒索軟件。