Conti to kolejny przykład „human-operated ransomware”. Pomimo tego, że działa podobnie jak inne zagrożenia tego typu, posiada kilka interesujących cech.

Pierwszą z nich jest obsługa operacji wielowątkowych. Zapewne zastanawiacie się co jest w tym właściwie wyjątkowego? Przecież wiele rodzin ransomware robi to całkiem dobrze? Conti wyróżnia naprawdę dużą liczbą jednocześnie wykorzystywanych wątków procesora – a mianowicie aż 32. W porównaniu do REvil (Sodinokibi), LockBit, czy ransomware Thanos, jest więc w stanie naprawdę szybko szyfrować dane.

Drugą unikalną funkcją jest bardzo precyzyjna kontrola nad celami szyfrowania. Zagrożenie wykorzystuje do tego klienta wiersza poleceń. Conti pomija dane na dyskach lokalnych i szyfruje bezpośrednio udziały sieciowe SMB. Ransomware wymaga do tego wyłącznie listy adresów IP, która zostaje przesłana właśnie za pośrednictwem wiersza poleceń. Conti jest więc w stanie wyrządzić ukierunkowane szkody w środowisku IT. Zastanówmy się, co się dzieje, gdy systemy zaczynają wykazywać oznaki infekcji? Administrator już wie, że firma padła ofiarą ataku. Ale co gdy zniszczenia ograniczają się do serwera, który nie jest podłączony do internetu? Wtedy atak może pozostać niezauważony przez wiele dni a nierzadko nawet tygodni. Tak długo, aż któryś z użytkowników nie będzie potrzebował dostępu do danych na tym właśnie urządzeniu.

Conti nadużywa również Menedżera ponownego uruchamiania systemu Windows. Ransomware odwołuje się do tego komponentu, aby odblokować a następnie wyłączyć procesy w ramach uruchomionych aplikacji. Wszystko po to by móc szyfrować również dane, które są aktualnie przez nie wykorzystywane.

Na ten moment specjaliści nie są w stanie odszyfrować zasobów, które zaatakował ransomware Conti. Tak więc o ile firma nie chce zapłacić ogromnych sum przestępcom (co stanowczo odradzamy), priorytetem powinno być utrzymywanie aktualnej kopii zapasowej.

Źródło