Yazar: Övgü Kaya
Conti Fidye Yazılımı Nasıl Çalışır?
Kurbanın verilerini hem dışarı sızdırır hem de şifreleyerek çifte gasp taktiğine izin verir. Genellikle hizmet olarak fidye yazılımı (RaaS) modeli saldırılarında kullanılır. Dosyaları hızlı bir şekilde yaymak ve şifrelemek için çoklu iş parçacıklı işlem kullanır. Conti öncelikli olarak Windows platform sistemlerini hedef alsa da, Conti kötü amaçlı yazılım araç setlerinin daha yeni incelemeleri de Linux sistemlerde açıkları kullandığını ortaya çıkardı.
Kötü amaçlı yazılım, ilk erişimden sonra Conti’nin komuta ve kontrol (C2) sunucusuna bağlanır ikinci aşama Conti C2 istemcisini ve dosya şifreleme araçlarını indirir. Üçüncü aşama C2 kötü amaçlı yazılımı, yüksek değerli hedefleri tehlikeye atmak için uzaktan yürütmek ve bir ağ üzerinden yaymak için Cobalt Strike beacon, PowerSploit ve AdFind gibi uzun bir penetrasyon testi yazılım araçları listesini kullanır. Conti ayrıca Sunucu İleti Bloğu (SMB) aracılığıyla bir ağ içinde yayılabilir ve aynı ağ etki alanındaki diğer uç noktalardaki verileri şifrelemek için bir strateji olarak SMB istismarını kullanır.
Diğer fidye yazılımları gibi Conti de algıladığı mevcut güvenlik ürünlerini devre dışı bırakmaya çalışır ve kötü amaçlı yazılım analizi için kullanılan bir sanal alan ortamı olup olmadığını belirlemek için ortamı tarayarak kötü amaçlı yüklerinin içeriğini korumaya çalışır. Saldırgan yüksek değerli hedefleri belirleyip tehlikeye attığında, Conti değerli kurumsal verileri saldırganın kontrolündeki bir sunucuya sızdırır ve ardından dosyaları hızlı bir şekilde şifrelemek için çok iş parçacıklı şifreleme kullanır.
Conti saldırıları, genellikle kısa bir süre içinde birden fazla kuruluşun güvenliğinin ihlal edildiği yıldırım saldırılarında kullanılır. ARMattack (“armada”nın kısaltması) olarak adlandırılan yeni bir yıldırım örneği, Conti’nin yaklaşık bir ay içinde 40’tan fazla şirketi hacklediğini gördü. Yıldırım saldırıları, siber güvenlik topluluğu savunma önlemleri geliştirmek ve paylaşmak için yeterli zamana sahip olmadan önce, yeni ve gelişmiş kötü amaçlı yazılım tekniklerinin faydasını en üst düzeye çıkarır.
CONTI Ransomware kullanıcının sistemini tarar ve şifreleme işlemini tetikler. Bu dosya kilitleme Truva atı, hedeflenen tüm dosyaları kilitlemek için güvenli bir şifreleme algoritması kullanır. Sistemde bulunan tüm belgelerin, resimlerin, ses dosyalarının, videoların, veritabanlarının ve elektronik tabloların şifrelenmesi muhtemeldir. Yeni kilitlenen dosyalar ek bir ‘.CONTI’ uzantısı alır.
Saldırı açısından, Conti tipik olarak kişisel belgeleri, resimleri ve videoları (docx, xlsx, pdf ve mp4 dosyaları) ve yedekleme dosyalarını hedefler. Şifreleme işlemi sırasında, dosyalar bir AES-256 şifreleme anahtarıyla, ardından bir RSA-4096 genel şifreleme anahtarıyla şifrelenir ve bir conti veya CONTI uzantısıyla eklenir. Kötü amaçlı yazılım ayrıca her klasörde fidye mesajını ve saldırganlarla nasıl iletişime geçileceğine ve ödemenin nasıl gönderileceğine ilişkin talimatları içeren bir metin dosyası oluşturur.
Ardından, CONTI Ransomware kullanıcının masaüstüne bir fidye notu bırakır. Fidye notunun adı ‘CONTI_README.txt’. Fidye yazılımı tehditlerinin yazarları, fidye notuna bir ad verirken kullanıcının saldırganların mesajını bulma şansını arttırdığı için tüm büyük harfleri kullanırlar. Fidye mesajı çok kısa saldırganlar fidye ücretinin ne olduğunu söylemezler ancak, e-posta yoluyla iletişim kurulmasını talep ederler ve bu amaçla iki e-posta adresi sağlarlar – ‘mantiticvi1976@protonmail.com’ ve ‘fahydremu1981@protonmail.com.
CONTI Ransomware’den sorumlu siber dolandırıcılarla temas kurmanız önerilmez. Fidye ücretini ödeseniz bile, saldırganlar anlaşmanın sonunu onurlandıracakları ve verilerinizi kurtarmak için ihtiyacınız olan şifre çözme aracını sağlayabileceklerine dair hiçbir garanti vermeyeceklerdir.
CONTI RANSOMWARE
Conti Hizmet Olarak Fidye Yazılımı (RaaS) saldırı modelini kullanır. RaaS, bağlı kuruluşun, bir kuruluşun altyapısında birinci aşama kötü amaçlı yazılımı başarılı bir şekilde dağıtması için ödeme almasına izin vererek, birincil tehdit aktörünün ikinci aşama istismar ve zorlama için hedef ağa anında erişmesini sağlar.
Dışişleri Bakanlığı, Conti fidye yazılımı varyantı ulusötesi organize suç grubunda önemli bir liderlik pozisyonuna sahip herhangi bir bireyin/kişilerin kimliğinin tespitine veya yerinin belirlenmesine yol açan bilgiler için 10.000.000$’a kadar bir ödül sunuyor. Ayrıca Bakanlık, herhangi bir ülkede bir Conti varyantı fidye yazılımı olayına katılmak için komplo kuran veya katılmaya teşebbüs eden herhangi bir kişinin tutuklanmasına veya mahkum edilmesine yol açan bilgiler için 5.000.000$’a kadar bir ödül sunuyor.
Conti fidye yazılımı grubu, son iki yılda yüzlerce fidye yazılımı olayından sorumlu olmuştur. FBI, Ocak 2022 itibariyle, Conti fidye yazılımıyla ilişkili saldırıların 150.000.000 doları aşan 1.000’den fazla kurbanı olduğunu tahmin ediyor ve bu da Conti Ransomware varyantını şimdiye kadar belgelenmiş en maliyetli fidye yazılımı türü yapıyor.
Grup, FBI ve CIA’nın hassas verileri çalmayı amaçlayan 400’den fazla Conti fidye yazılımı saldırısı uyarısı yayınlamasıyla aktif hale geldi.
Conti Ransomware grubu, 25 Şubat Cuma günü Rusya-Ukrayna arasındaki savaşta Rusya’yı desteklediğini duyurmuştu. Ardından diğer ülkeler tarafından Rusya’ya yapılacak herhangi bir siber saldırıda bu ülkelerde kritik altyapıları hedef alacaklarını açıklamışlardı.
Ukraynalı Conti üyeleri Rusya’nın yanında yer almaktan rahatsız olduktan sonra, Conti çetesi “hiçbir hükümetle ittifak yapmadıklarını” ve “devam eden savaşı kınadıklarını” belirterek mesajlarını başka bir mesajla değiştirdiler.
Açıklamaların ardından Conti Ransomware grubunun Ukrayna destekçisi olduğu düşünülen bir üyesi tarafından 27 Şubat 2022 tarihinde @ContiLeaks twitter hesabı üzerinden Conti grubuna ait Jabber anlık mesajlaşmaları yayınlanmaya başladı. Yayınlananlara göre Conti’nin hedef aldığı kurbanlarına ait çok sayıda verinin açığa çıktı görüldü. ContiLeaks, birkaç yıla yayılan sohbet ve forum mesajlarını, grup içi kullanılan dokümanları, kaynak kodları 2 gün boyunca yayınlamaya devam etti.
Geçmişte Conti Fidye çetesiyle etkileşime giren Recorded Future tehdit istihbarat analisti olan Dmitry Smilyanets, sızdırılan konuşmaların gerçekliğini doğruladı.
Şu ana kadar tespit edilen sızdırılan mesajların içerikleri arasında şunlar yer alıyor:
-Conti’nin, TrickBot ve Emotet zararlı yazılım çeteleriyle ilişkisini gösteren mesajlar.
-TrickBot botnetinin bu ayın başlarında kapandığını doğrulayan mesajlar.
-Bir ihlal veya fidye yazılımı olayını ifşa etmeyen şirketlerle ilgili fidye görüşmeleri ve ödeme bilgilerini gösteren mesajlar.
-Conti çetesinin ödemeleri aldığı Bitcoin adresleri
Toplamda, 21 Ocak 2021’den bugüne kadar toplam 60.694 mesaj içeren 393 sızdırılmış JSON dosyası var. Conti, operasyonlarını Temmuz 2020’de başlattı, bu nedenle iç konuşmalarının büyük bir bölümünü içeriyor olsa da, hepsi bu değil.
Örneğin, aşağıdaki konuşma, BleepingComputer’ın Aralık ayında Shutterfly’a yapılan saldırıyı nasıl öğrendiğini merak eden Conti üyeleridir.
Ayrıca Conti/TrickBot’un Diavol fidye yazılımı operasyonu ve Ransomwhere sitesine eklenen 13 milyon dolarlık ödeme içeren 239 bitcoin adresi hakkında konuşmalar var.
Bu mesajların sızdırılması, fidye yazılımı operasyonuna ciddi bir darbedir ve araştırmacılara ve kolluk kuvvetlerine iç süreçleri hakkında hassas istihbarat sağlar.
Conti Fidye Yazılımına Karşı Nasıl Korunulur?
Başarılı bir Conti fidye yazılımı saldırısını etkili bir şekilde önleyen savunma taktikleri, diğer kötü amaçlı yazılımları önlemek için kullanılan taktiklere benzer, örneğin:
- Kimlik avı tabanlı saldırılardan kaynaklanan güvenlik olaylarını azaltmak için kullanıcı farkındalığı eğitiminden yararlanma,
- Kötü amaçlı yazılımların hassas kaynaklara erişmesini önlemek için sağlamlaştırılmış kimlik doğrulama mimarisi ve güvenliği geliştirme,
- Bir ihlal durumunda sistemlerin zamanında tanımlanmasını ve düzeltilmesini sağlamak için gelişmiş uç nokta algılama ve müdahale ürünleri kurmak.
https://blog.malwarebytes.com/threat-intelligence/2022/03/the-conti-ransomware-leaks/
https://therecord.media/conti-ransomware-gang-chats-leaked-by-pro-ukraine-member/
https://www.inside-it.ch/chat-leaks-geben-einblick-in-die-struktur-der-conti-cyberkriminellen
