Conti’s Ransomware Playbook beinhaltet Aufklärung für Benutzer mit privilegiertem Zugang

Forscher von Cisco Talos haben ein Playbook übersetzt, das von derRansomware-as-a-Service-Gruppe Conti verwendet wird. Das Playbook enthält detaillierte Anweisungen, wie Sie Administratorzugriff erhalten, einschließlich der Suche in sozialen Medien, um Mitarbeiter zu finden, die Sie ansprechen können.

„Die Gegner listen mehrere Möglichkeiten auf, einmal im Opfernetzwerk nach Administratorzugriff zu suchen“, schreiben die Forscher. „Sie verwenden Befehle wie Net, um Benutzer aufzulisten, und Tools wie AdFind, um Benutzer mit Zugriff auf Active Directory aufzulisten, und sogar OSINT, einschließlich der Verwendung von Social-Media-Sites wie LinkedIn, um Rollen und Benutzer mit privilegiertem Zugriff zu identifizieren. Sie stellen fest, dass dieser Jagdprozess in US- und EU-Netzwerken besonders einfach ist, da sie strukturiert sind und wie Rollen und Verantwortlichkeiten in Kommentaren häufig detailliert beschrieben werden. “

Die Forscher stellen fest, dass die Bande ziemlich gut organisiert und über Unternehmensnetzwerkstrukturen informiert ist.

„Verweise auf Teamleiter, Chats und Konferenzen deuten darauf hin, dass die Gruppe zumindest einigermaßen gut organisiert ist“, schreiben die Forscher. „Sie zeigen auch eine Vertrautheit mit Unternehmensnetzwerkumgebungen, z. B. wo sich wertvolle Assets befinden und wie man darauf zugreift. Dies gilt insbesondere für US-amerikanische und europäische Netzwerke, die über eine verbesserte Dokumentation verfügen, die ein einfacheres Targeting ermöglicht. Bemerkenswert ist, dass die einzige „geografische“ Erwähnung durch die Gegner die Erwähnung von U.S./EU Active Directory (AD) Strukturen war. Ihre Anweisungen, die akribisch und leicht zu befolgen sind, zeigen auch, dass sie effizient und methodisch sind.“

Talos betont auch, dass das Handbuch es weniger technischen Kriminellen ermöglicht, ausgeklügelte Ransomware-Angriffe durchzuführen.

„Eine der größten Erkenntnisse während der Übersetzung war die allgemeine Gründlichkeit und Detailgenauigkeit dieser Spielbücher“, schreiben die Forscher. „Der bereitgestellte Detaillierungsgrad könnte es selbst Amateurgegnern ermöglichen, zerstörerische Ransomware-Angriffe durchzuführen, eine viel niedrigere Eintrittsbarriere als andere Formen von Angriffen. Diese niedrigere Eintrittsbarriere könnte auch zu dem Leck eines verärgerten Mitglieds geführt haben, das als weniger technisch (alias ‚ein Skript-Kiddie‘) und weniger wichtig angesehen wurde. “

Sicherheitsschulungen der neuen Schule können es Ihren Mitarbeitern ermöglichen, Social-Engineering-Angriffe zu vereiteln.

Cisco Talos hat die Geschichte.

Recommended Posts