g0102-conti-group - RunkIntel

# Conti Group ## Visão Geral **Conti** foi a operação de ransomware mais lucrativa e destrutiva de sua era, atribuida ao grupo **Wizard Spider** com base em **Sao Petersburgo, Russia**. Entre 2020 e maio de 2022, o Conti atacou mais de **1.000 vitimas** - incluindo hospitais, sistemas de saúde nacionais, governos municipais e agencias federais - com extorsoes totalizando mais de **US$ 150 milhões** confirmados, e possívelmente mais de **US$ 180 milhões** somente em 2021. O Conti se destaca por duas caracteristicas únicas no ecossistema de ransomware: (1) pagava **salario fixo** aos afiliados em vez de comissao, estruturando-se como uma empresa criminosa profissional com RH, marketing e suporte tecnico; e (2) sua queda foi precipitada por **leaks internos** - após declarar apoio público a Russia na invasao da Ucrania, um membro ucraniano vazou 60.000+ mensagens internas, o playbook operacional completo e o código-fonte do ransomware. Embora a marca Conti tenha encerrado em maio 2022, os membros **nao se apósentaram** - dispersaram-se em Black Basta, ALPHV/BlackCat, Karakurt, BlackByte, Hive, AvosLocker e HelloKitty, tornando o impacto do Conti duradouro no ecossistema global de ransomware. > [!danger] Maior Ransomware LATAM da Historia > O Conti realizou o **primeiro ataque de ransomware a declarar emergência nacional em um pais** (Costa Rica, maio 2022), atacando 27 agencias governamentais e causando perdas de US$ 30 milhões/dia. Também atacou o governo do Peru no mesmo período. O FBI ofereceu recompensa de US$ 10-15 milhões pelos lideres. > [!info] ContiLeaks - A Queda > Em fevereiro 2022, o Conti declarou apoio "total" a Russia na invasao da Ucrania. Horas depois, um membro ucraniano vazou o arsenal completo: playbooks, estrutura organizacional, salarios, enderecos bitcoin, e 60.000+ mensagens do servidor XMPP privado. As mensagens referênciavam a "Liteiny Avenue" em Sao Petersburgo (sede do FSB) como possível fonte de proteção. ## Attack Flow - Ransomware Corporativo ```mermaid graph TB A["Acesso Inicial TrickBot / BazarLoader Phishing + VPN comprometida Credenciais roubadas"] --> B["Reconhecimento Cobalt Strike beacons 10+ ShareFinder + AdFind Nltest domain trusts"] B --> C["Escalacao de Privilegios Mimikatz DCSync Zerologon attack Domain admin credentials"] C --> D["Movimento Lateral RDP + PsExec GPO modification Enterprise admin spreads"] D --> E["Pre-Ransom Data theft via Rclone Upload para MEGA Atera RAT para persistência"] E --> F["Ransomware AES-256 multithreaded Shadow copy deletion Double extortion"] ``` ## Anatomia do Conti - Empresa Criminosa ```mermaid graph TB A["Stern / Demon CEO do Conti"] --> B["Mango Gerente Geral 62 pessoas no core"] B --> C["Divisao Técnica Desenvolvimento malware C2 infrastructure Exploit devs"] B --> D["Divisao de Afiliados Atacantes pagos por salario Nao por comissao Recrutamento via LinkedIn/jobs"] B --> E["Divisao Financeira Crypto laundering Negociacoes de ransom Money mule networks"] A --> F["Conexão FSB (pre-2019) Possível proteção Mencionado nos leaks Liteiny Avenue ref"] ``` ## Campanha Costa Rica 2022 - Ultimo Grande Ato Em abril de 2022, o Conti realizou seu ataque final sob a propria marca: 1. **Acesso inicial (11 abril):** Membro "MemberX" usa credenciais VPN comprometidas para acessar o Ministerio da Fazenda da Costa Rica 2. **Reconhecimento (11-15 abril):** 10+ beacons Cobalt Strike, ShareFinder, enumeracao de dominios com Nltest 3. **Escalacao:** Mimikatz DCSync + Zerologon para comprometer TODOS os hosts das redes interconectadas 4. **Exfiltração (15 abril):** 672 GB exfiltrados via Rclone para MEGA 5. **Ransomware:** Criptografia de sistemas de 27 agencias governamentais 6. **Impacto:** Sistema de declaracao de impostos offline; perdas de US$ 30 milhões/dia; emergência nacional decretada em 8 de maio O Conti usou a Costa Rica como "operação de cortina" para simular atividade normal enquanto os lideres desmontavam a marca e redistribuiam membros para outras operações. ## Legado e Fragmentacao Em maio 2022, o Conti encerrou a marca mas **nao as operações**: - **Black Basta:** Principal herdeiro dos membros Conti - **ALPHV/BlackCat:** Recebeu membros e expertise de Conti - **Karakurt:** Divisao de exfiltração-only (sem criptografia) - **BlackByte:** Operação hibrida com ex-Conti - **Hive:** Colaboracao pre-dissolução com Conti - **BazarCall collective:** Continuacao de TTP de acesso inicial ## Técnicas Utilizadas - [[t1566-001-spearphishing-attachment|T1566.001 - Spearphishing Attachment]] - [[t1059-001-powershell|T1059.001 - PowerShell]] - [[t1078-valid-accounts|T1078 - Valid Accounts]] - [[t1021-001-remote-desktop-protocol|T1021.001 - Remote Desktop Protocol]] - [[t1003-001-lsass-memory|T1003.001 - LSASS Memory]] - [[t1486-data-encrypted-for-impact|T1486 - Data Encrypted for Impact]] - [[t1490-inhibit-system-recovery|T1490 - Inhibit System Recovery]] - [[t1070-001-clear-windows-event-logs|T1070.001 - Clear Windows Event Logs]] - [[t1082-system-information-discovery|T1082 - System Information Discovery]] - [[t1016-system-network-configuration-discovery|T1016 - System Network Configuration Discovery]] - [[t1135-network-share-discovery|T1135 - Network Share Discovery]] - [[t1083-file-and-directory-discovery|T1083 - File and Directory Discovery]] - [[t1484-001-group-policy-modification|T1484.001 - Group Policy Modification]] - [[t1567-002-exfiltration-to-cloud-storage|T1567.002 - Exfiltration to Cloud Storage]] ## Software Utilizado - [[s0154-cobalt-strike|Cobalt Strike]] - [[s0266-trickbot|TrickBot]] - [[bazarloader|BazarLoader]] - [[mimikatz|Mimikatz]] - [[psexec|PsExec]] - [[s1040-rclone|Rclone]] ## Relevância para o Brasil e LATAM O Conti atacou **diretamente** governos da América Latina (Costa Rica, Peru) e seus sucessores continuam ativos na regiao: > [!danger] Ameaça Direta e Confirmada ao Brasil > No período de 90 dias em torno dos ataques ao Costa Rica, grupos de ransomware relacionados ao Conti comprometeram: **15 agencias governamentais no Brasil, 9 na Argentina, 6 na Colombia, 4 no Equador e 3 no Chile**. O Brasil foi o pais mais atacado da América Latina no período. Setores de alto risco para sucessores do Conti no Brasil: - **Saúde pública (SUS, hospitais):** Alvo historico favorito do Conti (HSE Irlanda, NHS UK) - **Municipios e estados:** Servidores expostos, segurança baixa, pressao para pagar - **Infraestrutura critica:** ANEEL, ANATEL, distribuidoras - **Educação:** Universidades federais e estaduais ## Referências - MITRE ATT&CK: [G0102 - Wizard Spider](https://attack.mitre.org/groups/G0102/) - AdvIntel - Costa Rica Attack Anatomy (2022) - ContiLeaks - 60.000+ mensagens internas (2022) - FBI Flash - Conti Ransomware (2021-2022) - Wikipedia - 2022 Costa Rican ransomware attack - [[black-basta|Black Basta]] - principal herdeiro do Conti - [[alphv-blackcat-group|ALPHV/BlackCat]] - ex-membros Conti - [[lockbit|LockBit]] - ecossistema relacionado - [[g0102-conti-group|Wizard Spider]] - grupo operador do Conti - [[government|Governo]] - [[healthcare|Saúde]]