Conti是近年来最为活跃和危险的勒索软件团伙之一。该组织以勒索软件即服务(RaaS)模式运作,其中核心团队管理恶意软件和Tor站点,而招募的分支机构执行网络破坏和数据加密攻击。核心团队赚取20-30%的赎金,而附属公司赚取其余部分。上图为该团伙的培训资料,勒索软件攻击手册也在其中。最近,安全研究员pancak3分享了一篇来自Conti成员的论坛帖子,该成员公开泄露了有关勒索软件操作的信息。这些信息包括CobaltStrikeC2服务器的IP地址(如下图,pancak3强烈建议立即屏蔽图中IP地址)和一个113MB的存档,其中包含大量用于进行勒索软件攻击的工具和培训资料。该成员还表示,他之所以发布该材料,是因为他在袭击后的一次拆分中只收到了1,500美元,而团队的其他成员则有望赚到数百万美元。一名威胁情报专家指出,此次泄露的攻击手册与孔蒂活跃案例相吻合,基本可以确认为真泄密。泄密暴露了勒索软件团伙的组织复杂性,以及他们在针对全球公司时使用的流程和经验。它还暴露了勒索软件即服务操作的脆弱性,因为任何不满意的附属成员都可能导致暴露精心设计的培训信息和攻击中使用的资源。作为勒索软件的顶尖玩家,Conti勒索软件“渗透测试”团队的剧本也是渗透测试操作的“圣杯”。因此,此次泄密将产生积极影响。防御方的渗透测试人员可以利用这些资料逐步提高渗透测试技能,以应对勒索软件。【本文为专栏作者“安安牛”原创文章,转载请通过安安牛(微信公众号id:gooann-sectv)获得授权】点此查看作者更多好文
