Filtrados manuales técnicos hacking ransomware Conti

Un miembro descontento del programa de ransomware Conti ha filtrado manuales y guías técnicas en ruso utilizados por la banda Conti para capacitar a los miembros afiliados sobre cómo acceder, moverse lateralmente y escalar el acceso dentro de una empresa hackeada y luego exfiltrar sus datos antes de cifrar los archivos.

Afiliado de ransomware descontento filtra los manuales técnicos del grupo Conti

Filtrados en el foro de habla rusa XSS, los archivos fueron compartidos por una persona que parece haber tenido un problema con la baja cantidad de dinero que la pandilla Conti les estaba pagando para hackear las redes corporativas.

En los mensajes enviados por correo no deseado a través del foro, el individuo compartió capturas de pantalla de las direcciones IP donde la pandilla de Conti aloja los servidores de comando y control de Cobalt Strike, que los miembros afiliados de Conti utilizan para acceder a las redes de la empresa hackeadas.

Además, la persona también publicó un archivo RAR llamado "Мануали для работяг и софт.rar", que se traduce aproximadamente como "Manuales para trabajadores y software.rar".

Este archivo contiene 37 archivos de texto con instrucciones sobre cómo utilizar varias herramientas de hacking e incluso software legítimo durante una intrusión en la red.

Por ejemplo, los manuales filtrados contienen guías sobre cómo:

Técnicas Hacking ransomware Conti

• Configurar el software Rclone con una cuenta MEGA para la exfiltración de datos
• Configurar el software AnyDesk como una solución de persistencia y acceso remoto en la red de una víctima [una táctica conocida de Conti]
• Configurar y usar el agente Cobalt Strike
• Utilizar la herramienta NetScan para escanear redes internas
• Instalar el marco de prueba pentesting Metasploit en un servidor privado virtual (VPS)
•  Conectarse a redes hackeadas a través de RDP utilizando un túnel seguro de Ngrok
• Elevar y obtener derechos de administrador dentro de la red hackeada de una empresa
•  Hackear (elevar privilegios) de los controladores de dominio
• Volcar contraseñas de directorios activos (volcado NTDS)
• Realizar ataques de fuerza bruta SMB
•  Ataques fuerza bruta routers, dispositivos NAS y cámaras de seguridad
• Utilizar el exploit ZeroLogon
•  Realizar un ataque Kerberoasting
• Deshabilitar las protecciones de Windows Defender
• Eliminar instantáneas de volumen
• Cómo los afiliados pueden configurar sus propios sistemas operativos para usar la red de anonimato Tor, y más 

Descargar manuales y software (en ruso)

Descargar manuales (traducidos) (PDF)

Especialistas en ciberseguridad mencionan que las filtraciones en operaciones RaaS son algo muy poco común, por lo que sin dudas este es un hecho que llama la atención. No obstante, los expertos también consideran que la información compartida en esta filtración no incluye nada que la comunidad de la ciberseguridad no hubiera descubierto anteriormente, incluso mencionan que estas técnicas y procedimientos han sido utilizadas por operaciones de ransomware desde hace años.

Aún así, esta filtración ayudará a algunas empresas de seguridad a elaborar manuales defensivos actualizados y más sólidos con el fin de que las organizaciones públicas y privadas puedan detectar de mejor manera cualquier intrusión de Conti y otras variantes de ransomware similares.

Fuentes:
https://therecord.media/disgruntled-ransomware-affiliate-leaks-the-conti-gangs-technical-manuals/

https://www.bleepingcomputer.com/news/security/angry-conti-ransomware-affiliate-leaks-gangs-attack-playbook/