Hibrit Saldırı Bülteni: Salt Typhoon - Telco Siber Saldırılarında Sessiz Fırtına >

Vectra AI Japonya、ITR発行の最新レポート内「NDR市場」にて国内トップシェアを獲得
詳細を見る
Hamburger simgesi üst satır
Hamburger simgesi orta çizgi
Hamburger simgesi alt satırı
cybercriminels
>
Fidye Yazılım Grubu

Conti

Conti, büyük, küresel kuruluşları ve devlet kurumlarını hedef almasıyla bilinen bir hizmet olarak fidye yazılımı (RaaS) operasyonudur.

Conti'nin TTP'lerini tespit edin
Kuruluşunuz Fidye Yazılımı Saldırılarına Karşı Güvende mi?
Arka plan
Hedefler
TTP'ler
Algılama
Sıkça Sorulan Sorular
Tehdit Brifingini izleyin

Conti Fidye Yazılımının Kökeni

Conti, ilk olarak 2019 yılında Rusya merkezli Wizard Spider grubu tarafından malware olarak kullanılmaya başlandı. Ağustos 2018'den itibaren 100'den fazla ABD'li ve uluslararası işletmeyi hedef alan Ryuk fidye yazılımının halefi olduğu düşünülüyor. Conti zaman içinde, çok sayıda grup tarafından saldırı düzenlemek için kullanılan tam teşekküllü bir hizmet olarak fidye yazılımı (RaaS) modeline dönüştü. Başta Kuzey Amerika'da olmak üzere küresel işletmelere ve devlet kurumlarına karşı hassas dosyaları çalmak ve yüksek gelirli kuruluşlardan milyonlarca dolar fidye talep etmek için kullanıldı. Conti Ransomware Group, daha küçük gruplara bölündükten sonra 2022 yılında nihai olarak kapatıldı, ancak yöntemleri bugün de devam ediyor.

Kaynak: OCD & MITRE ATT&CK

Conti Fidye Yazılımının Kökeni
Hedefler

Conti'nin Hedefleri

Conti fidye yazılımının hedef aldığı ülkeler

Conti İrlanda'dan Kosta Rika'ya kadar yüzlerce kurbanı hedef aldı. Ancak en başarılı saldırıları Kuzey Amerika'da gerçekleşti.

Kaynaklar: Ransomware.live

Conti fidye yazılımının hedef aldığı sektörler

Conti Fidye Yazılımı öncelikle şirketleri ve devlet kurumlarını, özellikle de Kuzey Amerika'dakileri hedef almak için kullanılır.

Görüntü kaynağı: Sophos

Conti fidye yazılımının hedef aldığı sektörler

Conti Fidye Yazılımı öncelikle şirketleri ve devlet kurumlarını, özellikle de Kuzey Amerika'dakileri hedef almak için kullanılır.

Görüntü kaynağı: Sophos

Conti Ransomware'in kurbanları

Bugüne kadar 351 kurban Conti Ransomware'in kurbanı oldu. Bazı yüksek profilli kurbanlar arasında İrlanda Sağlık Hizmetleri Yöneticisi (HSE), yerel hükümet ofisleri ve birkaç özel firma yer alıyor. 2021'deki HSE saldırısı, Conti'nin önemli operasyonel etkisini göstererek sağlık hizmetlerinde yaygın bir kesintiye neden oldu.

Kaynak: Ransomware.live

Saldırı Yöntemi

Conti fidye yazılımı saldırı yöntemi

İlk Erişim
Ayrıcalık Yükseltme
Savunma Kaçırma
Kimlik Bilgileri Erişimi
Keşif
Yanal Hareket
Koleksiyon
Yürütme
Sızma
Etki
Bilgisayarlar, akıllı telefonlar ve tabletler gibi çeşitli cihazlarla dolu dijital bir manzara üzerinde geniş bir ağ atan gölgeli bir figür. Ağ, saldırganın güvenlik açıklarını bulma veya yetkisiz erişim elde etmek için phishing tekniklerini kullanma girişimlerini sembolize eder.

Conti aşağıdakiler gibi çeşitli teknikler kullanır phishing e-postalar, istismar kitleri, güvenliği ihlal edilmiş web siteleri ve çalınan uzak masaüstü protokolü (RDP) kimlik bilgileri. Ayrıca hedef sistemlere sızmak için BazarLoader ve TrickBot gibi botnet 'leri kullanır.

Temel bir kullanıcı simgesinden yukarıya, yönetici ayrıcalıklarını simgeleyen bir taca doğru uzanan dijital bir merdiven. Bu, saldırganın sistem içinde daha üst düzey erişim elde etme çabalarını temsil eder.

Gibi araçları kullanarak Cobalt StrikeConti operatörleri güvenlik açıklarından yararlanır ve SYSTEM ayrıcalıkları elde etmek için adlandırılmış boru kimliğine bürünme (GetSystem) gibi teknikler kullanır.

Dijital bir arka plana karışan, etrafında sıfırlar ve birler akan bir bukalemun. Bu, saldırganın normal ağ trafiğine karışmak için taktik değiştirerek güvenlik önlemleri tarafından tespit edilmekten kaçınma yeteneğini temsil eder.

Saldırganlar Grup İlkesi değişiklikleri yoluyla Windows Defender 'ı devre dışı bırakır ve kötü amaçlı etkinlikleri gizlemek için şaşırtma teknikleri kullanır.

Giriş formu şeklindeki dev bir anahtar deliği üzerinde çalışan maymuncuk aletine sahip bir hırsız, saldırganın yetkisiz erişim elde etmek için kullanıcı kimlik bilgilerini çalma çabalarını temsil ediyor.

Conti, Mimikatz gibi araçları kullanır ve Cobalt Strike kimlik bilgilerini boşaltmak ve Kerberos bilet hırsızlığı (overpass-the-hash) gerçekleştirmek için.

Bir ağın dijital haritası üzerinde hareket eden ve dosyaları, klasörleri ve ağ bağlantılarını vurgulayan bir büyüteç. Bu görüntü, saldırganların yapıyı ve değerli verilerin nerede bulunduğunu anlamak için ortamı keşfettikleri aşamayı temsil eder.

Tehdit aktörleri ağ ortamının haritasını çıkarmak için nltest, net.exe ve dsquery gibi araçları kullanarak komutlar yürütür.

Gölgeli bir figürün aralarında gizlice hareket ettiği bir dizi birbirine bağlı düğüm. Bu, ek sistemlerin kontrolünü ele geçirmek veya malware adresini yaymak isteyen saldırganın ağ içindeki hareketlerini göstermektedir.

Yanal hareket SMB, PsExec ve RDP bağlantıları kullanılarak gerçekleşir ve genellikle ilk dayanak noktası üzerinden proxy'lenir.

Dosyaları, veri simgelerini ve klasörleri gölgeli bir figür tarafından tutulan bir torbaya emen büyük bir vakum. Bu görüntü, hedef ağdan değerli verilerin toplanması sürecini sembolize eder.

malware hassas dosya ve dizinleri tarar ve bunlar daha sonra saldırganların sunucularına aktarılır.

Dijital bir arka planın önünde açılan ve kötü amaçlı kod yazılan bir komut istemi penceresi. Bu, saldırganların ele geçirilen sistem içinde kötü amaçlı yüklerini çalıştırdıkları aşamayı temsil eder.

Fidye yazılımı Cobalt Strike gibi araçlar kullanılarak bellekte çalıştırılır, dosyaları şifreler ve sistemleri kullanılamaz hale getirir.

Bir bilgisayardan gizli bir kanal aracılığıyla kurukafa ile etiketlenmiş bir buluta aktarılan bir dizi dosya, verilerin saldırgan tarafından kontrol edilen bir konuma izinsiz olarak aktarılmasını sembolize eder.

Veriler, Cobalt Strike'un işaretleme özellikleri veya güvenli kanallar üzerinden özel komut dosyaları kullanılarak dışarı çıkarılır.

Arkasında kaos içinde dijital bir şehir manzarası olan kırık bir ekran, siber saldırının hizmet kesintisi, veri imhası veya mali kayıp gibi yıkıcı etkisini sembolize eder.

Conti kritik dosyaları şifreler ve bir fidye notu bırakarak şifrenin çözülmesi ve çalınan verilerin kamuya açıklanmasının önlenmesi için ödeme talep eder.

Bilgisayarlar, akıllı telefonlar ve tabletler gibi çeşitli cihazlarla dolu dijital bir manzara üzerinde geniş bir ağ atan gölgeli bir figür. Ağ, saldırganın güvenlik açıklarını bulma veya yetkisiz erişim elde etmek için phishing tekniklerini kullanma girişimlerini sembolize eder.
İlk Erişim

Conti aşağıdakiler gibi çeşitli teknikler kullanır phishing e-postalar, istismar kitleri, güvenliği ihlal edilmiş web siteleri ve çalınan uzak masaüstü protokolü (RDP) kimlik bilgileri. Ayrıca hedef sistemlere sızmak için BazarLoader ve TrickBot gibi botnet 'leri kullanır.

Temel bir kullanıcı simgesinden yukarıya, yönetici ayrıcalıklarını simgeleyen bir taca doğru uzanan dijital bir merdiven. Bu, saldırganın sistem içinde daha üst düzey erişim elde etme çabalarını temsil eder.
Ayrıcalık Yükseltme

Gibi araçları kullanarak Cobalt StrikeConti operatörleri güvenlik açıklarından yararlanır ve SYSTEM ayrıcalıkları elde etmek için adlandırılmış boru kimliğine bürünme (GetSystem) gibi teknikler kullanır.

Dijital bir arka plana karışan, etrafında sıfırlar ve birler akan bir bukalemun. Bu, saldırganın normal ağ trafiğine karışmak için taktik değiştirerek güvenlik önlemleri tarafından tespit edilmekten kaçınma yeteneğini temsil eder.
Savunma Kaçırma

Saldırganlar Grup İlkesi değişiklikleri yoluyla Windows Defender 'ı devre dışı bırakır ve kötü amaçlı etkinlikleri gizlemek için şaşırtma teknikleri kullanır.

Giriş formu şeklindeki dev bir anahtar deliği üzerinde çalışan maymuncuk aletine sahip bir hırsız, saldırganın yetkisiz erişim elde etmek için kullanıcı kimlik bilgilerini çalma çabalarını temsil ediyor.
Kimlik Bilgileri Erişimi

Conti, Mimikatz gibi araçları kullanır ve Cobalt Strike kimlik bilgilerini boşaltmak ve Kerberos bilet hırsızlığı (overpass-the-hash) gerçekleştirmek için.

Bir ağın dijital haritası üzerinde hareket eden ve dosyaları, klasörleri ve ağ bağlantılarını vurgulayan bir büyüteç. Bu görüntü, saldırganların yapıyı ve değerli verilerin nerede bulunduğunu anlamak için ortamı keşfettikleri aşamayı temsil eder.
Keşif

Tehdit aktörleri ağ ortamının haritasını çıkarmak için nltest, net.exe ve dsquery gibi araçları kullanarak komutlar yürütür.

Gölgeli bir figürün aralarında gizlice hareket ettiği bir dizi birbirine bağlı düğüm. Bu, ek sistemlerin kontrolünü ele geçirmek veya malware adresini yaymak isteyen saldırganın ağ içindeki hareketlerini göstermektedir.
Yanal Hareket

Yanal hareket SMB, PsExec ve RDP bağlantıları kullanılarak gerçekleşir ve genellikle ilk dayanak noktası üzerinden proxy'lenir.

Dosyaları, veri simgelerini ve klasörleri gölgeli bir figür tarafından tutulan bir torbaya emen büyük bir vakum. Bu görüntü, hedef ağdan değerli verilerin toplanması sürecini sembolize eder.
Koleksiyon

malware hassas dosya ve dizinleri tarar ve bunlar daha sonra saldırganların sunucularına aktarılır.

Dijital bir arka planın önünde açılan ve kötü amaçlı kod yazılan bir komut istemi penceresi. Bu, saldırganların ele geçirilen sistem içinde kötü amaçlı yüklerini çalıştırdıkları aşamayı temsil eder.
Yürütme

Fidye yazılımı Cobalt Strike gibi araçlar kullanılarak bellekte çalıştırılır, dosyaları şifreler ve sistemleri kullanılamaz hale getirir.

Bir bilgisayardan gizli bir kanal aracılığıyla kurukafa ile etiketlenmiş bir buluta aktarılan bir dizi dosya, verilerin saldırgan tarafından kontrol edilen bir konuma izinsiz olarak aktarılmasını sembolize eder.
Sızma

Veriler, Cobalt Strike'un işaretleme özellikleri veya güvenli kanallar üzerinden özel komut dosyaları kullanılarak dışarı çıkarılır.

Arkasında kaos içinde dijital bir şehir manzarası olan kırık bir ekran, siber saldırının hizmet kesintisi, veri imhası veya mali kayıp gibi yıkıcı etkisini sembolize eder.
Etki

Conti kritik dosyaları şifreler ve bir fidye notu bırakarak şifrenin çözülmesi ve çalınan verilerin kamuya açıklanmasının önlenmesi için ödeme talep eder.

MITRE ATT&CK Haritalama

Conti Fidye Yazılımı tarafından kullanılan TTP'ler

TA0001: Initial Access
T1566
Phishing
TA0002: Execution
T1059
Command and Scripting Interpreter
TA0003: Persistence
No items found.
TA0004: Privilege Escalation
T1548
Abuse Elevation Control Mechanism
TA0005: Defense Evasion
T1548
Abuse Elevation Control Mechanism
T1112
Modify Registry
TA0006: Credential Access
T1003
OS Credential Dumping
TA0007: Discovery
T1087
Account Discovery
TA0008: Lateral Movement
T1021
Remote Services
TA0009: Collection
T1074
Data Staged
TA0011: Command and Control
T1071
Application Layer Protocol
TA0010: Exfiltration
No items found.
TA0040: Impact
T1486
Data Encrypted for Impact
Platform Tespitleri

Conti gibi fidye yazılımı tehditleri nasıl tespit edilir? Vectra AI

Binlerce kurumsal kuruluş, bir fidye notuyla karşılaşmadan önce saldırıları bulmak ve durdurmak için güçlü yapay zeka odaklı tespitlere güveniyor.

AWS Ransomware S3 Activity

RDP Recon

Ransomware File Activity

Daha fazla algılama görüntüleyin
Saldırıya maruz kalma durumunuzu değerlendirin

Sıkça Sorulan Sorular

Conti fidye yazılımı nedir?

Conti fidye yazılımı, 2019'da siber saldırı sahnesine çıkan bir hizmet olarak fidye yazılımı operasyonudur. Verileri şifreleme ve diğer sistemlere yayılma hızı nedeniyle son derece zarar verici bir fidye yazılımıdır.

Conti fidye yazılımının arkasında kim var?

Conti, 2019 yılında kötü şöhretli Rus fidye yazılımı çetesi Wizard Spider tarafından geliştirildi ve daha sonra çok sayıda tehdit aktörü tarafından hizmet olarak fidye yazılımı (RaaS) olarak kullanıldı.

Conti fidye yazılımı nasıl çalışır?

Conti fidye yazılımı, mızrak phishing ve RDP saldırıları gibi çeşitli yöntemlerle iletilir. Hedeflenen sisteme girdikten sonra, çifte gasp için hem veri şifrelemeyi hem de dışarı sızmayı kullanır - saldırgan hem şifre çözme hem de çalınan verilerin yayınlanmasını önlemek için ödeme talep edebilir.

Conti fidye yazılımı saldırıları hangi sektörleri hedef alıyor?

Conti, devlet kurumlarının ve sağlık ve imalat gibi sektörlerdeki büyük şirketlerin kritik altyapı ve sistemlerini hedef almasıyla tanınıyor.

Conti fidye yazılımı saldırıları hangi ülkeleri hedef alıyor?

Conti fidye yazılımı kurbanlarının çoğu Kanada ve Amerika Birleşik Devletleri'nde olmakla birlikte, Birleşik Krallık'ta da kayda değer saldırılar meydana gelmiştir.

Conti Fidye Yazılımından kaç kuruluş etkilendi?

350'den fazla kurum ve kuruluş Conti Fidye Yazılımının kurbanı oldu ve toplu olarak yüz milyonlarca fidye ödedi.

Conti fidye yazılımı saldırısının sonuçları nelerdir?

Conti fidye yazılımı kurbanları sadece şifre çözme anahtarlarını almak için değil, aynı zamanda hassas, çalınmış verilerin serbest bırakılmasını önlemek için milyonlarca dolar ödemek zorunda kaldılar.

Kurumlar Conti fidye yazılımı saldırılarını nasıl tespit edebilir ve durdurabilir?

Çok faktörlü kimlik doğrulama ve çalışanların siber güvenlik eğitimi gibi önleyici tedbirlere ek olarak, kuruluşlar yapay zeka odaklı tespitlerle fidye yazılımı saldırılarını ilerlemelerinin erken aşamalarında bulabilir ve durdurabilir.

Conti fidye yazılımı nasıl yayılır?

Conti gibi RaaS saldırıları sistemlere sızmak, dosyaları çalmak, dosya sunucularını şifrelemek ve hem şifre çözme anahtarları hem de çalınan verilerin serbest bırakılmasını önlemek için fidye ödemeleri talep etmek için malware adresini kullanır.

Conti fidye yazılımı saldırısını önlemenin en iyi yolları nelerdir?

Conti gibi fidye yazılımlarını önlemenin en iyi yolu, saldırıları ilerlemelerinin erken aşamalarında yakalamak için yapay zeka odaklı tespitler yapmaktır.

Kuruluşunuz Fidye Yazılımı Saldırılarına Karşı Güvende mi?

Saldırıya maruz kalma durumunuzu değerlendirin