勒索軟件 Conti 分贓不勻 入侵訓練聖經被爆上網

勒索軟件 Conti 分贓不勻 入侵訓練聖經被爆上網

分贓唔勻通常都係犯罪集團拆夥嘅導火線,勒索軟件 Conti 同生意夥伴上星期似乎就因為咁而出事,網絡安全研究員發現,Conti 用於發動攻擊的 C&C 伺服務位址及軟件使用手冊俾人放上網,發放者聲稱 Conti 未有守諾分享過百萬贖金,只係俾咗 1,500 美元呢個合作人,結果發放者決定攬炒!真係俾咗大大個負皮 Conti 喎。

目錄

RaaS 經營手法

勒索軟件 Conti 支爆事件

訓練手冊提升滲透測試技術

勒索軟件 RaaS 經營手法

勒索軟件集團一般的經營手法,是與持有或有能力取得企業內部帳戶的人合作,對方只須提供入侵方法,其他行動包括盜取機密資料、執行勒索軟件、與受害企業商討贖金、收錢等都一概由勒索軟件集團負責,完事後合作人可獲分六至七成贖金作報酬。這種合作模式稱為「勒索軟件即服務」(Ransomware-as-a-Service, RaaS),不少知名勒索軟件集團如 REvilDarkSide、LockBit 均有採用這種模,例如早前 LockBit 及新晉集團 BlackMatter 便曾在俄羅斯地下討論區刊登廣告,邀請合作伙伴與他們聯絡。

勒索軟件 Conti 支爆事件

至於今次被爆料的勒索軟件集團 Conti,便同樣採用 RaaS 經常模式,不過,似乎 Conti 在其中一次合作上未有遵守合約精神,向合作人支付應允的贖金比例,而且更由過百萬款項變為 1,500 美元,先至觸發今次「支爆」事件。網絡安全研究員 Pancak3 在 Twitter 上交代有關事件,指他在地下討論區上發現與 Conti 有關的錢銀風波,除了有食花生價值之外,Pancak3 同時呼籲企業應立即截斷由爆料人所公布的 C&C 伺服器 IP 位址,便可阻止 Conti 盜取數據或引入勒索軟件。

訓練手冊提升滲透測試技術

另外,爆料人同時上載了 113mb 有關 Conti 的入侵 guide book,內裏包括教導合作人入侵的策略及各種不同方法,經專家證實後,確認與 Conti 的攻擊手法一致,因此相信這批資料的確屬於 Conti。專家指出這批資料對網絡安全業界人士來說非常寶貴,因為它顯示了勒索軟件集團的發展成熟程度,其多樣化的入侵模式亦可讓紅隊滲透測試者(pentester)更了解勒索軟件開發者的思維,提升他們的滲透技術。經過今次失信事件,相信都會好影響 Conti 的「商譽」喇。

詳情:https://bit.ly/3ytTGG2