Conti reforma em vários grupos menores, eles são agora mais perigosos do que nunca?

O grupo de crimes cibernéticos se desfez, mas ainda pode representar uma ameaça grave para várias empresas de uma maneira diferente.

Em 19 de maio de 2022, foi descoberto pela Advanced Intel que o grupo de hackers Conti havia colocado a maior parte de sua infraestrutura offline. A empresa de gerenciamento de risco vinha rastreando Conti há algum tempo e descobriu que, naquele dia, o site do grupo de hackers e o site de serviços de negociação foram retirados do ar. Embora isso possa parecer uma boa notícia à primeira vista, a reestruturação em grupos menores de crimes cibernéticos pode tornar os membros ainda mais perigosos.

Isso, em grande parte, se deve a grupos menores de terroristas tecnológicos, permitindo que a gangue global cause ainda mais danos. Conti já havia conquistado uma reputação no setor de saúde em ataques anteriores e postou sentimentos anti-EUA em seu blog, tornando-os um alvo para as autoridades americanas.

“Não é de surpreender que eles estejam tentando evitar serem perseguidos dividindo-se em grupos menores, ainda mais agora que o governo dos EUA emitiu um mandado de US$ 15 milhões por informações que lhes permitem capturar as cabeças”, disse Ricardo Villadiego, fundador e CEO. da empresa de cibersegurança Lumu. “Além disso, é sabido que [Conti] fez parceria com outros atores de ameaças no ado para atingir seus objetivos. De fato, alguns membros da operação Conti faziam parte da operação REvil e BlackMatter.”

Por que Conti é mais uma ameaça agora?

Ao se separarem, os ex-membros do Conti estão dificultando a identificação de como e de onde virão os ataques. Isso permite que os ex-membros evitem a captura potencial por meio de parcerias com grupos existentes, como BlackCat ou REvil, para impulsionar suas operações.

A empresa de Villadiego, Lumu, tem um histórico de lidar com o Conti detectando e erradicando malware usado pelo grupo, como Emotet e Cobalt Strike, antes que um comprometimento acontecesse. Ele diz que o efeito desses ataques nas organizações pode ser devastador, com empresas menores sofrendo o impacto do ataque por não terem as medidas de segurança ou o orçamento necessários para combater os cibercriminosos.

“Os ataques de ransomware evoluíram nos últimos dois anos e essa evolução requer especialização”, disse ele. “O Emotet começou como um trojan bancário e agora é usado como um malware precursor, pois permite que grupos de ransomware abram o caminho, se espalhem pelas organizações e controlem o maior número possível de ativos para que possam aumentar a interrupção que causam. No entanto, como o grupo Conti é uma organização Ransomware as a Service (Raas), eles costumavam fazer parceria com os desenvolvedores do Emotet para adaptar o malware a cada ataque, o que permitiu que eles se concentrassem no que era importante para eles – criar interrupções, exfiltrar informações e obter dinheiro de suas vítimas.”

VEJO: Violação de senha: por que cultura pop e senhas não se misturam (PDF grátis) (TechRepublic)

Como evitar ser vítima do malware da Conti

Segundo Villadiego, o tempo é essencial para evitar ser vítima de um ataque cibernético. Detectando e erradicando a coleção de incidentes e ameaças que pareciam inofensivos no início, mas que não foram abordados de forma adequada ou oportuna. Ao encontrar um adversário no sistema o mais cedo possível, as empresas podem evitar um ataque de ransomware devastador no processo.

“A maneira mais eficaz de conter o impacto é monitorar intencionalmente a rede porque, independentemente do ataque, o adversário deve sempre usar a rede e uma rede comprometida se comporta de maneira diferente de uma rede que não está”, disse Villadiego. “No nosso caso, ajudamos as organizações a coletar e analisar sistematicamente uma ampla variedade de metadados de rede, e essa é a mina de ouro. Os metadados da rede dirão exatamente como e quando o adversário está entrando e o que eles estão tentando fazer para que você possa empregar uma resposta precisa contra essa ameaça específica.”

Por meio do uso de monitoramento intencional e contínuo, as empresas podem garantir que permaneçam vigilantes quando se trata de prevenir esses tipos de ataques. Além disso, empregar uma arquitetura de confiança zero pode ajudar no monitoramento, pois cada item seria verificado antes de ser permitido em uma rede ou dispositivo.

“Se você for capaz de mitigar e erradicar todos os contatos com o adversário e fazê-lo em tempo hábil, estará em uma posição muito melhor para evitar o pior cenário – que é o que vemos com tanta frequência nos noticiários. Trabalhamos com mais de 2.500 organizações de todos os tamanhos e descobrimos que essa é a melhor estratégia”, disse Villadiego.