09/08/21
Недовольный партнер вымогательской группировки Conti опубликовал на подпольном форуме XSS руководства и технические документы вымогателей. Опубликованные файлы использовались хакерами для обучения партнеров тому, как получать доступ к сетям, перемещаться по ним и расширять доступ внутри скомпрометированных систем компаний, а затем похищать данные перед шифрованием файлов.
Как сообщил ресурс The Record, партнер также опубликовал на форуме снимки экрана, демонстрирующие IP-адреса, на которых Conti размещает C&C-серверы маячков Cobalt Strike. Кроме того, пользователь также опубликовал архив под названием «Мануали для работяг и софт.rar». Архив содержит 37 текстовых файлов с инструкциями по использованию различных средств взлома и даже легитимного программного обеспечения во время взлома.
Утекшие руководства содержат инструкции о том, как: настроить программное обеспечение Rclone с учетной записью MEGA для кражи данных, настроить программное обеспечение AnyDesk как решение для обеспечения персистентности и удаленного доступа к сети жертвы, настроить и использовать агент Cobalt Strike, использовать инструмент NetScan для сканирования внутренних сетей, установить среду тестирования на проникновение Metasploit на виртуальный частный сервер (VPS), подключаться к взломанным сетям через RDP (используя безопасный туннель Ngrok), повышать свои права до администратора внутри взломанной сети компании, перехватывать контроль над доменами и пр.
Опубликованные файлы содержат руководства по основным тактикам и стратегиям, которые Conti и другие вымогательские группировки использовали во время предыдущих атак в течение многих лет. Утечка данных поможет некоторым ИБ-компаниям составить более надежные защитные инструкции, которые они могут рекомендовать своим клиентам.
