愤怒的 Conti 勒索软件附属机构泄露了团伙的攻击手册

心怀不满的 Conti 分支机构在进行攻击时泄露了该团伙的培训材料，其中包括有关勒索软件操作员之一的信息。 Conti Ransomware 操作作为勒索软件即服务 (RaaS) 运行，其中核心团队管理恶意软件和 Tor 站点，而招募的附属机构则执行网络漏洞和加密设备。作为这种安排的一部分，核心团队赚取赎金的 20-30%，而附属公司赚取其余部分。今天，一名安全研究人员分享了一个由愤怒的 Conti 分支机构创建的论坛帖子，该分支机构公开泄露了有关勒索软件操作的信息。该信息包括 Cobalt Strike C2 服务器的 IP 地址和一个 113 MB 的档案，其中包含大量用于进行勒索软件攻击的工具和培训材料。该附属公司表示，他们发布了这些材料，因为作为攻击的一部分，他只获得了 1,500 美元，而团队的其他成员正在赚取数百万美元，并承诺在受害者支付赎金后获得巨额赔偿。 “我把他们的钴服务器的 ip 地址和培训材料的类型合并给你。1500 美元是的，当然，他们招募吸盘并将钱分给他们，男孩们得到了受害者支付时他们会告诉他们的东西，”该附属机构在一个流行的俄语黑客论坛上发帖。附在上述帖子中的是 Cobalt Strike 信标配置的图像，其中包含勒索软件团伙使用的命令和控制服务器的 IP 地址。

在安全研究员 Pancak3 的推文中，建议每个人都阻止这些 IP 地址，以防止来自该组织的攻击。在随后的帖子中，该附属公司共享了一个包含 111 MB 文件的档案，其中包括黑客工具、俄文手册、培训材料和据称在执行 Conti 勒索软件攻击时提供给附属公司的帮助文档。一位安全研究人员与 BleepingComputer 分享了此提取文件夹的屏幕截图。我们被告知它包含有关部署 Cobalt Strike 的手册、用于转储 NTLM 哈希的 mimikatz 以及许多其他填充了各种命令的文本文件。已经分析过档案的高级英特尔的 Vitali Kremez 告诉 BleepingCompter，培训材料与活跃的 Conti 案例相匹配。 “我们可以根据我们的活跃案例进行确认。这个剧本与我们现在看到的 Conti 的活跃案例相匹配，”Kremez 在一次对话中告诉 BleepingComputer。 “总的来说，它是来自 AZ 的 Conti 勒索软件“渗透测试”团队背后渗透测试操作的圣杯。其影响是巨大的，允许新的渗透测试勒索软件操作员逐步提高他们的渗透测试技能以应对勒索软件。” “此次泄密还显示了他们勒索软件组织的成熟度，以及他们在针对全球公司时的复杂、细致和经验。”

“它还提供了大量的检测机会，包括专注于 AnyDesk 持久性和 Atera 安全软件代理持久性以在检测中存活的小组。”这种泄漏说明了勒索软件即服务操作的脆弱性，因为一个不满意的附属机构可能会导致攻击中使用的精心培育的信息和资源的暴露。最近，美国政府宣布其正义奖励计划现在正在接受有关针对美国关键基础设施的外国恶意网络活动的提示，并可能为提供有用信息提供 1000 万美元的奖励。此外，通过该计划的奖励可能会以加密货币匿名完成，这可能会激励低收入的附属机构攻击其他网络犯罪分子。 21 年 8 月 6 日更新：一位消息人士告诉 BleepingComputer，康蒂在得知他正在通过推广不同的身份不明的附属计划从他们的运营中挖走业务后，禁止了渗透测试人员。