A Sophos publicou uma pesquisa detalhada de três partes sobre o ransomware Conti, detalhando como o ataque se desenrolou ao longo de cinco dias, explicando seus recursos técnicos e comportamentos, além de apresentar conselhos de defensores para administradores de TI, pesquisadores e profissionais de operações de segurança.
O primeiro material, "O dia a dia de um ataque do ransomware Conti", apresenta uma linha do tempo de um ataque do ransomware Conti ativo, desde o comprometimento inicial até a recuperação das operações do alvo. O Sophos Rapid Response, equipe de resposta rápida a incidentes da Sophos, neutralizou, conteve e investigou o ataque. O artigo inclui, também, indicadores de comprometimento (IoCs), além de táticas, técnicas e procedimentos (TTPs) para ajudar os respondentes a procurar e se preparar contra futuros ataques do Conti.
Já o segundo, é um artigo técnico de pesquisadores da SophosLabs, "Conti Ransomware: Evasivo por Natureza", que mostra como os invasores tentaram obstruir a análise do ransomware implantando beacons Cobalt Strike (aparelhos que emitem um sinal de rádio através da tecnologia bluetooth low energy — BLE —, conhecida também como bluetooth 4.0) legítimos em máquinas comprometidas e, em seguida, carregando o código diretamente na memória durante seus ataques, sem deixar artefatos para os investigadores encontrarem e examinarem.
O terceiro artigo da série, "O que esperar quando você for atingido pelo Conti Ransomware", fornece orientações essenciais para administradores de TI que possam vir a sofrer um ataque do Conti. O material aborda o que fazer imediatamente e, em seguida, fornece uma lista de verificação de 12 pontos para ajudar esses profissionais a investigar o ataque, orientando tudo o que os cibercriminosos podem fazer enquanto estão na rede e os TTPs primários que eles provavelmente usarão.
Conselhos imediatos para defensores
• Desligue o protocolo de desktop remoto (RDP) voltado para a Internet para impedir o acesso de cibercriminosos às redes;
• Se precisar de acesso ao RDP, coloque-o atrás de uma conexão VPN;
• Use a segurança em camadas para prevenir, proteger e detectar ataques cibernéticos, incluindo recursos de detecção e resposta de endpoint (EDR) e equipes de resposta gerenciadas que vigiam as redes 24 horas por dia, 7 dias por semana;
• Esteja ciente dos cinco primeiros indicadores de que um invasor está presente para impedir ataques de ransomware;
• Tenha um plano de resposta a incidentes eficaz e atualize-o conforme necessário. Se você não se sente confiante de que possui as habilidades ou recursos disponíveis para fazer isso, monitorar ameaças ou responder a incidentes de emergência, considere recorrer a especialistas externos para obter ajuda;
• Saiba mais sobre o serviço Rapid Response da Sophos que contém, neutraliza e investiga ataques 24 horas por dia, 7 dias por semana.
[…] FONTE: TI INSIDE […]