2022-02-conti-leaks

# Conti Leaks - Radiografia de um Grupo Ransomware (Fevereiro 2022) > [!danger] Vazamento sem Precedentes de uma Organização Criminosa > Em 27 de fevereiro de 2022, dias após a invasao russa da Ucrania e após o **[[s0575-conti-ransomware]]** públicar declaracao de apoio ao governo Putin, um pesquisador ucraniano (ou simpatizante) com acesso interno ao grupo iniciou o vazamento sistematico de **60.000 mensagens do Jábber interno**, código-fonte do ransomware, paineis de administracao, manuais de treinamento, infraestrutura de pagamento e estrutura organizacional do Conti. Os leaks revelaram uma **organização criminosa corporativa** com RH, contratos de trabalho, estrutura de gerentes e subordinados, e receita anual estimada em US$ 180 milhões. A inteligência revelada acelerou acoes policiais e desmontou a percepcao do ransomware como atividade de hackers solitarios. --- ## Attack Flow do Vazamento ```mermaid graph TB A["🇺🇦 Invasao Russa da Ucrania 24 fevereiro 2022 Conti declara apoio a Putin"] --> B["😡 Membro/Simpatizante Ucraniano Insider com acesso ao Jábber Decide expor o grupo"] B --> C["📤 Vazamento de 60K Mensagens Historico completo do Jábber 2020-2022"] C --> D["💻 Código-Fonte Vazado Ransomware Conti v2/v3 Locker + Decryptor"] D --> E["📋 Manuais Operacionais Como recrutar afiliados Técnicas de evasão e lateral movement"] E --> F["🌍 Análise Global CTI Mandiant, CrowdStrike, Group-IB Mapeamento de atores e infraestrutura"] F --> G["🚔 Acoes Policiais FBI, Europol, INTERPOL Presos e infraestrutura derrubada"] ``` --- ## O que os Leaks Revelaram ### Estrutura Corporativa O Conti operava como uma **empresa de tecnologia criminosa** com estrutura organizacional formal: - **CEO/Gerencia**: "Stern" - liderança estratégica - **Gerente de RH**: "Mango" - recrutamento e onboarding - **Equipes de pentest**: atacantes especializados em redes corporativas - **Equipes de negociacao**: responsaveis por negociar resgates com vitimas - **Desenvolvedores de malware**: criação e manutenção do ransomware - **OSINT analysts**: pesquisa de alvos e levantamento financeiro Salarios variam de US$ 1.500 a US$ 2.000/mes para desenvolvedores juniors a US$ 5.000+ para seniors - valores competitivos para o leste europeu em 2021-2022. ### Receita e Escala - Receita anual estimada: **US$ 180 milhões** em 2021 - Vitimas pagas por ano: centenas - Ransom medio: US$ 1-10 milhões por vitima corporativa - Maior resgaté documentado: **US$ 40 milhões** (CNA Financial, 2021) ### Técnicas Documentadas Os manuais operacionais dos Conti Leaks tornaram-se referência em CTI por documentar, em linguagem dos proprios atacantes, TTPs que antes eram apenas inferidos por analistas. Incluiam: - Como comprometer redes via **Cobalt Strike** - Técnicas de evasão de antivirus e EDR - Propagação lateral via Active Directory - Exfiltração via **Rclone** para cloud storage - Negociacao psicológica com vitimas --- ## Impacto no Cenario de Ransomware O vazamento teve consequencias imediatas e de longo prazo: **Para o Conti:** - O grupo anunciou encerramento das operacoes em junho de 2022 - Membros se dispersaram para novos grupos: [[blackbasta-ransomware]], [[royal-ransomware]], [[s1180-blackbyte-ransomware]] e outros - Infraestrutura parcialmente exposta - bitcoins tracados **Para a Industria CTI:** - Maior repositorio de inteligencia sobre operacoes internas de RaaS já obtido - Revelou nexos com o [[g0102-conti-group]] (TrickBot) e FSB russo - Identificou afiliados e suas responsabilidades **Para Legislacao:** - EUA e UK ofereceram recompensas de até US$ 15 milhoes por informacoes sobre lideres do Conti - Europol usou os dados para coordenar acoes contra infraestrutura --- ## O Conti no Brasil O [[s0575-conti-ransomware]] foi um dos grupos mais ativos no Brasil entre 2020-2022. Organizacoes afetadas incluiram: - **Renner (2021)**: Ataque públicamente confirmado - sistemas de e-commerce afetados - **Ativos financeiros**: varios setores Os Conti Leaks revelaram que o grupo tinha playbooks específicos para organizacoes brasileiras e latinoamericanas, com enfase em setores financeiro e manufatura. O [[cert-br]] públicou alertas específicos sobre o Conti e seus TTPs documentados nos leaks. A dispersao do Conti após os leaks significou que seus membros e técnicas se espalharam para novos grupos - incluindo o [[s1180-blackbyte-ransomware]] que mais tarde atacaria a TOTVS no Brasil ([[2024-09-totvs-blackbyte]]). --- ## Relevância Geopolitica Os leaks confirmaram suspeitas sobre o relacionamento entre o Conti e o governo russo: - Mensagens mencionavam operacoes a pedido do **FSB** (servico de inteligencia federal russo) - O grupo tinha protetor implicito - nunca atacava alvos em territorio russo ou de paises aliados (CEI) - A declaracao de apoio a invasao da Ucrania foi discutida internamente antes de ser publicada O caso e um dos poucos exemplos documentados de **nexo entre grupo criminoso e servico de inteligencia estatal**. --- ## Cronologia do Incidente | Data | Evento | |------|--------| | 2020-2021 | Conti opera como maior grupo RaaS ativo | | 24 Fev 2022 | Russia invade Ucrania | | 25 Fev 2022 | Conti pública declaracao apoiando Putin | | 27 Fev 2022 | Primeiro lote de mensagens vazado no Twitter | | Mar 2022 | Código-fonte e manuais públicados | | Abr 2022 | Análise completa públicada por Mandiant/Sophos | | Jun 2022 | Conti anuncia encerramento formal | | 2022-2023 | Membros migram para BlackBasta, Royal, BlackByte | --- ## Referências CTI | Elemento | Ligacao | |----------|---------| | Threat Actor | [[s0575-conti-ransomware]] - principal grupo | | Derivados | [[blackbasta-ransomware]], [[royal-ransomware]], [[s1180-blackbyte-ransomware]] | | Técnica MITRE | [[t1486-data-encrypted-for-impact]] | | Técnica MITRE | [[t1078-valid-accounts]] - uso de credenciais AD | | Conexão | [[g0102-conti-group]] - TrickBot como loader | | Evento relacionado | [[2019-12-trickbot-ryuk-hospital]] | | Evento relacionado | [[2024-09-totvs-blackbyte]] | --- > [!info] Navegacao - Eventos Relacionados > [[2019-12-trickbot-ryuk-hospital]] | [[2022-03-lapsus-microsoft]] | [[2024-09-totvs-blackbyte]] | [[_timeline]]