O Conti Ransomware é uma ameaça futura que tem como alvo redes corporativas. O ransomware possui novos recursos que permitem realizar ataques mais rápidos e direcionados. Segundo o BleepingComputer, há também indícios de que esse ransomware compartilha o mesmo código de malware que o Ryuk. O BleepingComputer começou a rastrear o Conti no início de junho de 2020.
De acordo com o ZDNet, o Conti está usando até 32 threads de CPU simultâneos para criptografar arquivos em computadores infectados, com velocidades de criptografia extremamente rápidas. O ransomware foi visto pela primeira vez distribuído em ataques isolados no final de dezembro de 2019. Ao longo do tempo, os ataques aumentaram lentamente até o final de junho deste ano, quando houve um aumento de vítimas no site de identificação de ransomware ID Ransomware.
Os operadores da Conti violam as redes corporativas e se espalham lateralmente até conseguirem obter credenciais de administrador de domínio. Depois que os privilégios administrativos são alcançados, os agentes da ameaça implantam o ransomware e criptografam os dispositivos. No momento, não se sabe se os atacantes também roubam arquivos das redes de suas vítimas antes de criptografá-los.
Embora não esteja 100% claro se o Conti é sucessor do Ryuk, os gráficos de envio no ID Ransomware mostram que os ataques do Conti aumentaram, enquanto os do Ryuk foram diminuindo. Em agosto de 2017, o Hermes Ransomware estava sendo vendido em um fórum, e pesquisadores acreditam que cibercriminosos podem ter comprado esse construtor de ransomware e o transformado no Ryuk.
Em algum momento, os atacantes que usam o Ryuk se fragmentaram, renomearam ou decidiram fazer a transição para o nome “Conti”, que parece basear-se no código da versão 2 do Ryuk. Além das semelhanças no código do malware, foi observada uma nota de resgate mais descritiva do Conti com o mesmo template utilizado pelo Ryuk em ataques anteriores. Além disso, a mesma infra-estrutura do TrickBot é usada pelos agentes de ameaças Ryuk e Conti como parte dos ataques de ransomware. Por isso, é possível que o Conti esteja vinculado ao mesmo grupo de desenvolvedores do Ryuk.
Recommended Comments
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.