Afiliasi Conti yang merasa tidak puas telah membocorkan materi pelatihan geng saat melakukan serangan, termasuk informasi tentang salah satu operator ransomware.
Operasi Conti Ransomware dijalankan sebagai Ransomware-as-a-Service (RaaS), di mana tim inti mengelola malware dan situs Tor, sementara afiliasi yang direkrut melakukan pelanggaran jaringan dan mengenkripsi perangkat.
Sebagai bagian dari pengaturan ini, tim inti mendapatkan 20-30% dari pembayaran tebusan, sedangkan afiliasi hanya mendapatkan sisanya.
Seorang peneliti keamanan membagikan postingan forum yang dibuat oleh afiliasi Conti yang marah dan secara terbuka membocorkan informasi tentang operasi ransomware.
Informasi ini mencakup alamat IP untuk server Cobalt Strike C2 dan arsip 113 MB yang berisi berbagai alat dan materi pelatihan untuk melakukan serangan ransomware.
Afiliasi mengatakan, mereka memposting materi karena dia hanya dibayar sebesar $1.500 sebagai bagian dari serangan, sementara anggota tim lainnya menghasilkan jutaan dan menjanjikan pembayaran besar setelah korban membayar uang tebusan.
Dalam tweet tersebut, disarankan agar semua orang memblokir alamat IP tersebut untuk mencegah serangan dari grup.
Dalam posting berikutnya, afiliasi membagikan arsip yang berisi 111 MB file, termasuk alat peretasan manual yang ditulis dalam bahasa Rusia, materi pelatihan serta dokumen bantuan yang diduga diberikan kepada afiliasi saat melakukan serangan ransomware Conti.
Yang berisi manual tentang penerapan Cobalt Strike, mimikatz untuk membuang hash NTLM dan banyak file teks lainnya yang diisi dengan berbagai perintah.
Materi Pelatihan Conti telah Bocor
Vitali Kremez, Advanced Intel telah menganalisis arsip dan mengatakan bahwa materi pelatihan cocok dan kasus Conti aktif.
“Kami dapat mengonfirmasi berdasarkan kasus aktif kami. Buku pedoman ini cocok dengan kasus aktif untuk Conti seperti yang kita lihat sekarang,” kata Kremez.
“Umumnya, buku pedoman ini adalah cawan suci operasi pentester di belakang tim “pentester” Conti ransomware dari A-Z.
Implikasinya sangat besar dan memungkinkan operator ransomware pentester baru untuk meningkatkan keterampilan pentester mereka untuk ransomware langkah demi langkah.”
“Kebocoran ini juga menunjukkan kedewasaan organisasi ransomware mereka yang canggih, ketelitian, dan pengalaman mereka saat menargetkan perusahaan di seluruh dunia.”
Kebocoran ini menggambarkan kerentanan operasi Ransomware-as-a-Service, karena afiliasi tunggal yang tidak puas dapat menyebabkan terbukanya informasi dan sumber daya yang sudah diolah dengan hati-hati untuk digunakan dalam serangan.
Baru-baru ini pemerintah Amerika Serikat mengumumkan bahwa program Rewards for Justice-nya sekarang menerima tip tentang aktivitas siber asing yang berbahaya terhadap infrastruktur penting AS, dengan potensi hadiah $10 juta untuk informasi yang bermanfaat.
Menurut Conti, mereka memutuskan hubungan dengan afiliasi tersebut setelah mengetahui bahwa dia merampas bisnis dari operasi mereka dengan mempromosikan program afiliasi tak dikenal dan berbeda.
Setelah dilarang, afiliasi tersebut membocorkan materi serta alat pelatihan Conti sebagai balas dendam.
Recent Comments