提供勒索軟體即服務(Ransomware-as-a-Service, RaaS)的組織Conti,其會員因分到的贖金太少,心生不滿的在地下駭客論壇XSS上載了Conti勒索軟體培訓會員及用於攻擊的手冊。據了解,該技術手冊內容含如何在被駭公司內部存取、橫向移動和升級存取權限,同時還包含如何在加密檔案之前將數據盜取等。
一般來說,操作Conti勒索軟體的核心團隊在每次分贓可賺取贖金的20-30%,而其餘部分的則由其會員賺取。此次的爆料事件,疑是因為Conti會員只分到了$1500美元,而核心成員卻分到過百萬美元所引起的。這名深深不忿的Conti會員,今天將Conti的資訊包括Cobalt Strike C2伺服器的 IPs和包含大量工具和用於進行勒索軟體攻擊的培訓資料約 110 MB 的存檔,上傳到XSS駭客論壇,引起轟動。
另外,根據國外資安媒體報導,外洩的手冊包含有關如何執行以下操作的指南:
*使用 MEGA 帳戶配置 Rclone軟體以進行數據洩露
*將AnyDesk 軟體配置作為受害者網路中的持久性和遠端存取的方法[一種已知的 Conti 策略
*配置和使用 Cobalt Strike
*使用 NetScan 工具掃描內部網路
*在虛擬專用服務器 (VPS) 上安裝 Metasploit 滲透測試框架
*使用Ngrok 安全隧道通過 RDP 連接到被駭的網路
*在公司的被駭網路中提升並獲得管理員權限
*接管網域控制器
*從 Active Directory 轉儲密碼(NTDS 轉儲)
*執行 SMB 暴力攻擊
*強力路由器、NAS 設備和安全攝像頭
*使用 ZeroLogon 漏洞
*執行Kerberoasting攻擊
*禁用 Windows Defender 保護
*刪除卷影副本
*會員如何配置自己的操作系統以使用 Tor 匿名網路等
有關Conti勒索軟體的情資: