Conti勒索软件如何入侵和加密哥斯达黎加政府

有关Conti勒索软件团伙如何入侵哥斯达黎加政府的细节已经浮出水面，显示了攻击的精确度以及从初始访问到加密设备最后阶段的速度。

这是该组织过渡到另一种形式的组织之前，Conti勒索软件操作的最后一次攻击，该组织依赖于与其他团伙合作的多个单元。

Conti对哥斯达黎加政府的5天入侵

Conti勒索软件行动于2020年启动，以取代Ryuk，并在攻击私营和公共部门的受害者后迅速声名狼藉，包括美国地方政府，学校和国家医疗保健系统。

2022年4月11日，Conti在初步进入哥斯达黎加政府 络并从事侦察活动后，开始了他们在此品牌下的最后一次入侵。

络情 公司Advanced Intelligence（AdvIntel）的一份 告详细介绍了俄罗斯黑客从最初的立足点到4月15日窃取672GB数据并执行勒索软件的步骤。

威胁参与者入口点是属于哥斯达黎加财政部的系统，该组的一名成员称为“MemberX”，使用受感染的凭据通过VPN连接获得访问权限。

Advanced Intelligence首席执行官Vitali Kremez告诉BleepingComputer，受感染的凭据是从受害者 络上受损的初始设备上安装的恶意软件中获得的。

AdvIntel研究人员在 告中表示，在攻击的早期阶段设置了10多个Cobalt Strike信标会话。

“感染遵循典型的攻击流，其中对手通过在哥斯达黎加子 内安装加密形式的Cobalt Strike从受感染的VPN日志中获取访问权限” – AdvIntel

获得本地 络域管理员访问权限后，入侵者使用 Nltest 命令行工具枚举域信任关系。接下来，他们使用ShareFinder和AdFind实用程序扫描 络中的文件共享。

AdvIntel关于威胁行为者在哥斯达黎加政府 络上的活动的详细信息包括每个步骤中使用的特定命令。

根据研究人员的说法，MemberX随后使用Cobalt Strike后门通道将文件共享输出下载到本地机器。攻击者能够访问管理共享，他们上传了钴罢工DLL信标，然后使用PsExec工具运行它以进行远程文件执行。

Conti使用PsExec工具在哥斯达黎加政府 络上

使用Mimikatz利用后工具来泄露凭据，攻击者为本地用户收集登录密码和NTDS哈希，从而获得“纯文本和可暴力的本地管理员，域和企业管理员哈希”。

研究人员表示，Conti运营商利用Mimikatz运行DCSync和Zerologon攻击，使他们能够访问哥斯达黎加互连 络上的每个主机。

为了确保在防御者检测到钴打击信标时他们不会失去访问权限，Conti在用户活动较少的主机上安装了Atera远程访问工具，这些主机具有管理权限。

“对手对整个 络进行了 ping 操作并重新扫描了 络域信任，利用 ShareFinder 的企业管理员凭据，并编制了在其新的提升权限下可用的所有公司资产和数据库的列表” – AdvIntel

使用Rclone命令行程序可以窃取数据，该程序可以管理多个云存储服务上的文件。Conti 使用它将数据上传到 MEGA 文件托管服务。

攻击流程图：

哥斯达黎加的Conti勒索软件攻击流

攻击后：国家紧急状态，Conti关闭

根据Conti泄漏 站上的一份说明，赎金要求最初是1000万美元，然后在哥斯达黎加拒绝付款时增加到2000万美元。

然而，AdvIntel的研究人员表示，Conti成员之间的内部沟通表明，价格“远低于100万美元”。

AdvIntel指出，Conti对哥斯达黎加政府的攻击“相对不复杂”，并且设计的“扁平” 络与配置错误的管理共享相结合，帮助攻击者转向域信任。

在这次严重的袭击之后，哥斯达黎加被迫于5月8日宣布国家紧急状态，因为入侵已经扩展到多个政府机构，一些机构在6月初恢复了活动。

大约10天后，Conti领导人开始关闭运营，将部分基础设施离线并宣布该品牌不再存在。

最后一步发生在6月下旬，当时Conti关闭了所有用于与受害者谈判赎金的 站，并使数据泄漏 站离线。