# Conti Ransomware > [!critical] RaaS de Maior Impacto da Era 2019-2022 — Atacou Costa Rica e LATAM > Conti foi o grupo de ransomware mais destrutivo e lucrativo entre 2019 e 2022, responsável por centenas de ataques com resgates de milhões de dólares. Desmantelou-se após o vazamento de seu código-fonte e chats internos em 2022, mas seu ataque histórico à Costa Rica causou estado de emergência nacional. ## Visão Geral O Conti Ransomware foi o maior e mais destrutivo grupo de ransomware-as-a-service do mundo entre 2019 e 2022, vinculado ao grupo Wizard Spider de origem russa. O grupo era conhecido por sua profissionalização extrema — operava como empresa com RH, salários, hierarquia e suporte técnico 24/7 para vítimas —, com receitas estimadas em mais de US$ 180 milhões em 2021. Em 2022, o Conti sofreu dois golpes fatais: primeiramente o vazamento de seus chats internos por um pesquisador ucraniano em resposta ao apoio público do grupo à invasão russa da Ucrânia, expondo táticas, afiliados e infraestrutura. Depois, em maio de 2022, o grupo desmantelou suas operações após o ataque devastador ao governo da **Costa Rica** — que declarou estado de emergência nacional, o primeiro causado por um cyberattaque na história da América Latina. O legado do Conti persiste: partes do grupo migraram para outros RaaS como BlackBasta, Royal, Play e Akira. O código-fonte vazado foi adotado por múltiplos grupos, incluindo atores brasileiros que adaptaram o código para campanhas locais. > [!latam] Relevância para o Brasil e LATAM > O ataque do Conti à Costa Rica em 2022 representa o marco histórico de ransomware na América Latina — o primeiro a causar estado de emergência nacional. O grupo também atacou entidades brasileiras, e o código-fonte vazado foi adotado por cibercriminosos regionais. O [[government|governo]], [[healthcare|saúde]] e [[financial|setor financeiro]] brasileiro devem tratar o legado Conti (BlackBasta, Royal, Akira) como ameaça ativa. A LGPD impõe notificação obrigatória de incidentes de exfiltração de dados — característica central do modelo de dupla extorsão do Conti. ## Técnicas Utilizadas | Tática | ID | Técnica | |--------|-----|---------| | Initial Access | [[t1566-phishing\|T1566]] | Spear-phishing e BazarLoader como vetor inicial | | Initial Access | [[t1078-valid-accounts\|T1078]] | Credenciais RDP comprometidas via brokers de acesso | | Impact | [[t1486-data-encrypted-for-impact\|T1486]] | Criptografia de sistemas com AES+RSA | | Impact | [[t1490-inhibit-system-recovery\|T1490]] | Deleção de shadow copies e backups | | Exfiltration | [[t1048-exfiltration-over-alternative-protocol\|T1048]] | Exfiltração dupla via rclone/MEGA antes da criptografia | ## Detecção - Monitorar deleção de Volume Shadow Copies via vssadmin ou WMI - Detectar uso de rclone ou ferramentas de sincronização para exfiltração em massa - Alertar para comúnicações Cobalt Strike Beacon (TTPs do Conti documentados) - Monitorar credenciais RDP expostas e implementar autenticação multifator ## Referências - [CISA/FBI - Conti Ransomware Alert AA21-265A](https://www.cisa.gov/uscert/ncas/alerts/aa21-265a) - [Conti Leaks Analysis - Group-IB (2022)](https://www.group-ib.com/blog/conti-ransomware-group/) - [Costa Rica Emergency Declaration - Reuters (2022)](https://www.reuters.com/world/americas/costa-rica-declares-national-emergency-after-conti-ransomware-attack-2022-05-11/)