CISA Perbarui Peringatan Conti Ransomware dengan Hampir 100 Domain

Internet Sehat : Badan Keamanan Siber dan Infrastruktur (U.S. Cybersecurity and Infrastructure Security Agency, CISA) A.S. telah memperbarui peringatan tentang ransomware Conti dengan indikator kompromi (IoC) yang terdiri dari hampir 100 nama domain yang digunakan dalam operasi berbahaya.

Awalnya diterbitkan pada 22 September 2021, saran tersebut mencakup detail yang diamati oleh CISA dan Biro Investigasi Federal (FBI) dalam serangan ransomware Conti yang menargetkan organisasi di AS. Penasihat keamanan siber yang diperbarui berisi data dari U.S. Secret Service.

Rincian internal dari operasi ransomware Conti mulai bocor pada akhir Februari setelah geng tersebut mengumumkan secara terbuka bahwa mereka berpihak pada Rusia atas invasi ke Ukraina. Kebocoran berasal dari seorang peneliti Ukraina, yang awalnya menerbitkan pesan pribadi yang dipertukarkan oleh anggota geng dan kemudian merilis kode sumber untuk ransomware, panel administratif, dan alat lainnya. Cache data juga termasuk domain yang digunakan untuk kompromi dengan BazarBackdoor, malware yang digunakan untuk akses awal ke jaringan target bernilai tinggi.

CISA mengatakan bahwa pelaku ancaman Conti telah menyerang lebih dari 1.000 organisasi di seluruh dunia, vektor serangan yang paling umum adalah malware TrickBot dan suar Cobalt Strike. Agensi tersebut merilis kumpulan 98 nama domain yang memiliki karakteristik pendaftaran dan penamaan yang serupa dengan yang digunakan dalam serangan ransomware Conti dari kelompok yang mendistribusikan malware.

Agensi mencatat bahwa sementara domain telah digunakan dalam operasi jahat, beberapa dari mereka mungkin ditinggalkan atau mungkin memiliki karakteristik yang sama secara kebetulan. Daftar domain yang terkait dengan serangan ransomware Conti tampaknya berbeda dari ratusan yang dibocorkan oleh peneliti Ukraina dari infeksi BazarBackdoor.

Terlepas dari perhatian yang tidak diinginkan yang diterima Conti baru-baru ini karena bocoran obrolan dan alat internalnya, geng ransomware Conti tidak menghentikan aktivitasnya. Sejak awal Maret, Conti mendaftarkan di situsnya lebih dari dua lusin korban di AS, Kanada, Jerman, Swiss, Inggris, Italia, Serbia, dan Arab Saudi.

Sumber : Bleeping Computer