# C0015 - Intrusão Conti Ransomware em 5 Dias > [!danger] C0015 - Playbook Conti em Acao: de BazarLoader a Ransomware em 5 Dias > **Período:** Agosto 2021 (5 dias) | **Ator:** Afiliados nao identificados do ecossistema [[conti|Conti]] > **Vetores:** Spearphishing com HTA malicioso -> BazarLoader -> Cobalt Strike -> Conti > **Impacto:** Criptografia completa de rede corporativa com dupla extorsao via MEGA ## Visão Geral C0015 foi uma intrusão de ransomware documentada pelo DFIR Report durante a qual atacantes nao identificados - avaliados como seguindo o amplamente difundido playbook vazado do [[conti|Conti]] - utilizaram [[s0534-bazar|BazarLoader]], [[s0154-cobalt-strike|Cobalt Strike]] e o ransomware [[conti|Conti]] em um ataque de 5 dias. Os erros operacionais dos atacantes (como nao modificar parametros pre-definidos do playbook) confirmaram o uso do manual Conti vazado em agosto de 2021. O ataque comecou com um email de phishing distribuindo arquivo ZIP protegido por senha contendo um documento Word com macro. A macro extraia e executava um arquivo HTA malicioso - combinando HTML e JavaScript/VBScript codificados - que carregava o [[s0534-bazar|BazarLoader]] em memoria. Em menos de 2 horas do acesso inicial, o [[s0154-cobalt-strike|Cobalt Strike]] Beacon já estava ativo. O ciclo completo: BazarLoader (acesso inicial) > Cobalt Strike (C2 e movimento lateral via WMIC) > [[s0552-adfind|AdFind]] e PowerView (enumeracao de AD) > [[s1040-rclone|Rclone]] para MEGA (exfiltração dupla extorsao) > [[conti|Conti]] ransomware (criptografia total). ## Attack Flow ```mermaid graph TB A["📧 Dia 1 - Phishing<br/>ZIP protegido por senha<br/>Doc Word com macro maliciosa"] --> B["💉 Dia 1 - Execução<br/>Macro extrai e executa HTA<br/>BazarLoader carregado em memoria"] B --> C["🎯 Dia 1 - C2 Ativo<br/>Cobalt Strike Beacon<br/>ativo em menos de 2 horas"] C --> D["🔍 Dia 1-2 - Reconhecimento<br/>AdFind, PowerView, Net,<br/>ShareFinder - mapeamento AD"] D --> E["💾 Dia 2 - Backup Server<br/>RDP para servidor de backup<br/>verificação de configuracoes"] E --> F["📦 Dia 4 - Exfiltração<br/>Rclone para MEGA cloud<br/>limite de banda: 10MB/s"] F --> G["🔒 Dia 5 - Ransomware<br/>AnyDesk instalado, LSASS dump<br/>Conti executado via batch script"] ``` ## Timeline da Campanha ```mermaid timeline title C0015 - Cronograma dos 5 Dias Dia 1 - Hora 0 : Email de phishing com ZIP : Macro Word executa HTA malicioso Dia 1 - Hora 2 : BazarLoader ativo em memoria : Cobalt Strike Beacon estabelecido Dia 1 - Tarde : PowerView Invoke-ShareFinder : Enumeracao de compartilhamentos de rede Dia 2 : Acesso RDP ao servidor de backup : Revisao de configuracoes de backup Dia 4 : Segunda rodada de exfiltração via Rclone/MEGA : Dados identificados nos compartilhamentos de rede Dia 5 : AnyDesk instalado para acesso GUI : ProcessHacker dump LSASS : Conti ransomware executado via locker.bat ``` ## Técnicas Utilizadas | Técnica | ID | Uso na Campanha | |---------|-----|-----------------| | Spearphishing Attachment | [[t1566-001-spearphishing-attachment\|T1566.001]] | ZIP + documento Word com macro como vetor inicial | | Malicious File | [[t1204-002-malicious-file\|T1204.002]] | Abertura do documento dispara execução do HTA | | DLL Injection | [[t1055-001-dynamic-link-library-injection\|T1055.001]] | DLL D8B3.dll injetada no processo Winlogon | | WMI | [[t1047-windows-management-instrumentation\|T1047]] | WMIC usado para movimento lateral (`wmic /node:X process call create`) | | Network Share Discovery | [[t1135-network-share-discovery\|T1135]] | PowerView Invoke-ShareFinder para identificar compartilhamentos | | File Discovery | [[t1083-file-and-directory-discovery\|T1083]] | Listing de arquivos pos-criptografia para válidação | | Local Groups | [[t1069-001-local-groups\|T1069.001]] | Enumeracao de grupos locais via Net | | Domain Groups | [[t1069-002-domain-groups\|T1069.002]] | Enumeracao de grupos de dominio via AdFind/Net | | Process Discovery | [[t1057-process-discovery\|T1057]] | Taskmanager usado via GUI no servidor de backup | | Rundll32 | [[t1218-011-rundll32\|T1218.011]] | Execução de DLL Cobalt Strike Beacon via Rundll32 | | Local Data Staging | [[t1074-001-local-data-staging\|T1074.001]] | Resultados do ShareFinder em `c:\ProgramData\found_shares.txt` | | Data from Local System | [[t1005-data-from-local-system\|T1005]] | Coleta de arquivos antes da criptografia | | Exfiltration to Cloud Storage | [[t1567-002-exfiltration-to-cloud-storage\|T1567.002]] | `rclone.exe copy [...] Mega:DATA --bwlimit 10M` | | Ingress Tool Transfer | [[t1105-ingress-tool-transfer\|T1105]] | Download de ferramentas adicionais (AdFind, AnyDesk, Process Hacker) | ## Software Utilizado - [[s0534-bazar|BazarLoader]] - Loader inicial entregue via HTA malicioso para carga de Cobalt Strike - [[s0154-cobalt-strike|Cobalt Strike]] - Framework C2 principal para movimento lateral e pos-exploração - [[s0552-adfind|AdFind]] - Ferramenta de enumeracao de Active Directory - [[s1040-rclone|Rclone]] - Sincronizacao de arquivos usada para exfiltração ao MEGA (`--bwlimit 10M`) - [[conti|Conti]] - Ransomware final executado via `locker.bat` em toda a rede - AnyDesk - Ferramenta de acesso remoto para GUI no dia do ransomware - ProcessHacker - Usado para dump do processo LSASS (credenciais) ## Relevância LATAM/Brasil - O [[conti|Conti]] e seus afiliados atacaram organizacoes brasileiras confirmadas em 2021-2022, incluindo orgaos governamentais e empresas de saúde - O padrao BazarLoader > Cobalt Strike > AdFind > Rclone > Conti foi consistente com ataques confirmados no Brasil durante 2021 - O vazamento do playbook Conti em agosto de 2021 tornou este padrao de ataque acessivel a afiliados com menor habilidade técnica - aumentando o volume de ataques similares no Brasil - Mesmo após o desmantelamento do [[conti|Conti]] em 2022, variantes como Black Basta e outros grupos continuam usando o mesmo playbook documentado nesta campanha - O uso do MEGA como destino de exfiltração e comum em ataques de dupla extorsao no Brasil - defensores devem monitorar e limitar acesso a servicos de cloud storage públicos ## Mitigacoes Recomendadas - Bloquear execução de arquivos HTA (.hta) e macros Office via Group Policy - Implementar EDR com detecção de BazarLoader e Cobalt Strike Beacon - Monitorar e bloquear transferencias para MEGA, Dropbox e outros servicos de cloud em ambientes corporativos - Proteger servidores de backup com segmentacao de rede e MFA separado - Auditoria de acessos RDP internos e alertas em horario nao-comercial ## Referências - [MITRE ATT&CK - C0015](https://attack.mitre.org/campaigns/C0015) - [DFIR Report - CONTInuing the Bazar Ransomware Story](https://thedfirreport.com/2021/11/29/continuing-the-bazar-ransomware-story/) - [CISA/FBI/NSA - Conti Ransomware Advisory AA21-265A](https://media.defense.gov/2021/sep/22/2002859507/-1/-1/0/csa_conti_ransomware_20210922.pdf)