Près d’un mois après qu’un affilié de Conti mécontent a divulgué le manuel d’attaque du gang, les chercheurs en sécurité ont partagé une variante traduite qui clarifie toute interprétation erronée causée par la traduction automatique.

En plus de fournir des informations sur les méthodes d’attaque du gang et la rigueur des instructions, qui permettent à des acteurs moins qualifiés de devenir des affiliés au ransomware Conti et d’atteindre des cibles précieuses.

Fuite du matériel de formation Conti

Peu de compétence requise

Les linguistes travaillant avec les chercheurs de Cisco Talos ont examiné le matériel divulgué pour fournir une version anglaise intelligible qui décrit avec précision les techniques et les outils du gang.

Les scénarios d’attaque décrits dans les documents étaient si complets que « même les adversaires amateurs [could] mener des attaques destructrices de ransomware », disent les chercheurs.

« Cette barrière à l’entrée plus basse peut également avoir conduit à la fuite d’un membre mécontent qui était considéré comme moins technique (alias « un script kiddie ») et moins important »

Parmi les « conseils » fournis dans les manuels, il y a la façon d’obtenir un accès administrateur après avoir violé le réseau d’une victime en utilisant des commandes et des outils pour répertorier les utilisateurs, en particulier ceux ayant un accès Active Directory.

Une reconnaissance simple comme la vérification de LinkedIn et d’autres plateformes de médias sociaux pour identifier les employés ayant un accès privilégié est également détaillée, avec une note que les techniques fonctionnent mieux pour les entreprises aux États-Unis et en Europe.

Outils et techniques

Le meilleur outil décrit dans le matériel divulgué est le cadre d’équipe rouge Cobalt Strike, accompagné d’une version 4.3 fissurée du logiciel.

Les instructions d’utilisation faisaient également référence à l’exploitation de la vulnérabilité ZeroLogon (CVE-2020-1472). Les autres bogues critiques mentionnés dans le playbook du ransomware Conti sont PrintNightmare (CVE-2021-1675, CVE-2021-34527) et EternalBlue (CVE-2017-0143/0148).

Certains des outils détaillés par l’adversaire ne sont pas ce que…

Voir la source de cette publication