Раскрыты подробности разрушительной атаки Conti на Коста-Рику

В апреле 2022 года группировка Conti получила доступ к сети правительства Коста-Рики и для проведения масштабной кибератаки. В отчете компании AdvIntel подробно описываются шаги Conti от первоначальной позиции до захвата 672 ГБ данных и запуска программы-вымогателя.

Точкой входа злоумышленника была система Министерства финансов Коста-Рики, к которой участник группы «MemberX» получил доступ через VPN, используя скомпрометированные учетные данные. По словам генерального директора Advanced Intelligence Виталия Кремеза, учетные данные были получены с помощью вредоносного ПО, установленного на скомпрометированном устройстве в сети жертвы.

На ранних стадиях атаки было настроено более 10 сеансов маяка Cobalt Strike. Согласно отчету, Conti получила доступ к скомпрометированному журналу VPN, установив зашифрованную форму Cobalt Strike внутри подсети Коста-Рики.

Получив доступ администратора домена локальной сети, злоумышленник использовал инструмент командной строки Nltest для перечисления доверительных отношений домена. Затем он просканировал сеть на наличие файловых ресурсов с помощью утилит ShareFinder и AdFind.

MemberX затем использовал бэкдор-канал Cobalt Strike для загрузки файлового ресурса на локальный компьютер. Злоумышленник смог получить доступ к административным общим ресурсам, куда он загрузил маяк Cobalt Strike, а затем запустил его с помощью инструмента PsExec для удаленного выполнения файлов.

Группа Conti использовала Mimikatz для запуска атаки DCSync и Zerologon, которая дала им доступ к каждому хосту во взаимосвязанных сетях Коста-Рики. Используя инструмент пост-эксплуатации Mimikatz для эксфильтрации учетных данных, хакер получил «незашифрованные и поддающиеся подбору хэши локального администратора, домена и администратора предприятия».

Чтобы сохранить доступ в случае обнаружения, Conti установила инструмент удаленного доступа Atera на хосты с меньшей активностью пользователей, где у них были привилегии администратора.

Кража данных стала возможной с помощью программы командной строки Rclone, которая может управлять файлами в нескольких облачных хранилищах. Conti использовала Rclone для загрузки данных в файлообменник MEGA.

Схема атаки Conti:

Согласно примечанию на сайте утечки Conti, выкуп первоначально составлял $10 млн., а затем увеличился до $20 млн. после отказа Коста-Рики заплатить хакерам. Согласно AdvIntel , внутренняя переписка между членами Conti показала, что цена «была намного ниже $1 млн».

Кибератака известной российской группировки Conti началась 18 апреля с министерства финансов Коста-Рики и в конечном итоге охватила 27 различных учреждений в результате серии взаимосвязанных атак, которые разворачивались в течение нескольких недель.