Conti, o ransomware mais rápido do Ocidente: 32 threads de CPU paralelos, mas…para quê?

Quem pensa que o ransomware “varejo” que infecta os usuários e pede um resgate é um perigo, talvez não conheça o ransomware usado contra as redes das empresas, porque, depois de alguns anos conosco, o ransomware amadureceu. Tornou-se industrializado, especializado e sofisticado contra vítimas muito mais lucrativas e de que maneira. O Conti, o ransomware mais rápido , é apenas um exemplo de como eles evoluíram. Vamos ver quais truques ele usa e por quê.

Foi Carbon Black quem analisou uma nova versão do Conti , descobrindo novos níveis de sofisticação. Porque onde está a ação e a verdadeira inovação do malware está nos ataques direcionados às empresas . Esses ataques entram por meio de mensagens de email com anexos, geralmente Excel ou Word com macros ou que exploram as vulnerabilidades do Office.

Eles fazem movimentos laterais até estarem em um servidor onde se agacham esperando a oportunidade. A partir daí, eles lançam ataques de seqüestro de dados e pedem milhões de resgates para que a empresa continue com suas operações. Em comparação, o ransomware «caseiro» que afeta os sistemas dos usuários é praticamente uma brincadeira. Vamos ver o que esses invasores inovaram e por quê.

O mais rápido do Ocidente

A Conti usa 32 threads de CPU simultâneos. Isso permite criptografar todo o disco rígido ou qualquer arquivo colocado na frente dele muito rapidamente. Seria como lançar 32 cópias de um ransomware «normal» em paralelo. Por que eles fazem isso, por que eles querem ir tão rápido?

Eles geralmente iniciam esse ataque quando já estão em um desses servidores poderosos na rede da empresa com alguns privilégios (geralmente o controlador de domínio local). O sistema é considerado poderoso na CPU e capaz de iniciar todos esses threads. Ele também permite atacar sistemas com um disco rígido grande, com muitos dados (também como backup ). Quanto mais rápido o ransomware , mais rapidamente ele passa despercebido por qualquer sistema de alerta, de reativo a preventivo. Sempre será tarde demais.

Jogue a pedra e esconda a mão

Outro recurso interessante da Conti é que, mais uma vez «agachado» em um servidor, ele pode atacar a rede vizinha e criptografar as unidades compartilhadas dos sistemas vizinhos. Dessa maneira, os administradores de rede não saberão de onde vem o ataque, porque o natural é pensar que a máquina com os arquivos criptografados é a infectada. Nada disso: o paciente zero pode andar muito longe, jogando cifras muito rápidas para a esquerda e para a direita.

Evite fazer barulho usando o ARP

Para saber quais máquinas estão ao seu redor, você tem duas opções: analise os IPs da própria rede e percorra a faixa ou use um ARP-a e saiba quais máquinas você entrou em contato recentemente. O último é exatamente o que Conti faz.

Para Conti, um arquivo bloqueado não é um problema

Se você estiver em um servidor com um banco de dados interessante, normalmente seus dados sempre serão «bloqueados» pelo sistema operacional ou pelo próprio banco de dados. Criptografá-los será impossível porque você não pode tocar em um arquivo que pertence a um processo que o possui exclusivamente. Do ponto de vista dos invasores, como criptografá-lo?

O primeiro Conti mata qualquer processo que tenha «sql» em seu nome. Pouquíssimas famílias também usam o truque que este ransomware usa para criptografar arquivos, que é usar o Restart Manager, a fórmula que o próprio Windows usa para matar processos de forma limpa antes de desligar o sistema operacional. É como se ele matasse os processos de forma limpa, como se fosse o Windows antes de reiniciar, mas sem reiniciar.

E é aqui que você também precisa de velocidade e o motivo de ter 32 fios. Matar um processo crítico é muito barulhento, os administradores perceberão rapidamente que algo está errado. Do ponto de vista de malware , se você tiver muitos arquivos pesados ​​à frente, é melhor criptografá-los rapidamente depois de interromper o processo pai, se desejar atingir seu objetivo.

Criptografa todas as extensões, exceto exe, dll, lnk e sys

Conti é muito agressivo. A maioria dos ransomwares “domésticos” procura extensões potencialmente valiosas para a vítima. Documentos, fotografias, dados, etc. O Conti criptografa tudo, exceto executáveis, binários e drivers . Para acelerar, evite alguns diretórios do sistema.

Obviamente, tudo isso não impede que o pesadelo do resgate tenha as tecnologias usuais para esse tipo de ataque. Desde a exclusão de cópias de sombra (embora de maneira especial) até as chaves públicas que criptografam a chave AES de 256 bits incorporada em cada arquivo criptografado.

Finalmente, o mérito da análise desta amostra é maior quando se sabe que ofusca seu próprio código de uma maneira especial. O Conti tenta ocultar cada string , cada chamada de API do sistema usando um algoritmo diferente para ele, com chaves diferentes … e assim por diante, até 277 funções (algoritmos) usadas internamente.