Para mbylljes së operacioneve nën emrin Conti, grupi i kriminelëve kibernetikë kreu një nga sulmet më shkatërruese të ransomware ndonjëherë kundër Kosta Rikës. Ekspertët e AdvIntel kanë publikuar një raport të detajuar që ilustron teknikat dhe mjetet e përdorura gjatë ndërhyrjes që zgjati pesë ditë.
Anatomia e sulmit në Kosta Rika
Sulmi i ransomware nga banda Conti filloi më 11 prill me fillimin e fazës së “zbulimit”, domethënë identifikimin e objektivave të mundshëm. Kriminelët kibernetikë kanë zgjedhur sistemet informatike të Ministrisë së Financave si pikë hyrëse fillestare. Më pas ata goditën institucione të tjera qeveritare. Presidenti Rodrigo Chaves ka shpallur një gjendje të jashtëzakonshme kombëtare, por asnjë shpërblim nuk është paguar (siç dëshmohet nga publikimi i rreth 670 GB të dhënash).
Hyrja në rrjetin e Ministrisë së Financave është kryer me kredencialet e aksesit të një VPN (të vjedhur nga një kompjuter me një tjetër malware). Më pas u instalua një version i koduar i Cobalt Strike dhe u morën privilegjet e administrimit të domenit të rrjetit lokal.
Kriminelët kibernetikë më pas përdorën komandën Nltest për të zbuluar listën e kontrolluesve të domenit dhe mjetet ShareFinder dhe AdFind për të gjetur skedarët e përbashkët. Duke përdorur Mimikatz, fjalëkalimet dhe hash-et NTDS u hodhën në vend. Pas gjetjes së kredencialeve të administratorit, grupi Conti kreu sulme DCSync dhe Zerologon për të fituar akses në të gjithë hostet e lidhur me rrjetin lokal.
Për të ruajtur aksesin, u instalua mjeti i menaxhimit në distancë Atera. Duke përdorur mjetin Rclone, të dhënat më pas u vodhën dhe u ngarkuan në shërbimin e ruajtjes së cloud MEGA. Ndryshe nga sa u zbulua, shpërblimi ishte më pak se një milion dollarë.
Për të mbrojtur kompjuterët dhe rrjetin nga një sulm ransomware, është e nevojshme të miratohen një sërë masash parandaluese dhe mbrojtëse, të tilla si një plan rezervë offline dhe përdorimi i zgjidhjeve të sigurisë që përfshijnë antivirus dhe mure zjarri. Ndër më të mirat në treg janë ato të Bitdefender.
Discussion about this post