# Conti Ransomware Campaigns > [!critical] O Ransomware Mais Destrutivo da Historia - Mais de 1.000 Vitimas > **Conti** e o ransomware mais destrutivo já documentado - responsavel por mais de 1.000 ataques com pagamentos de vitimas superando USD 150 milhões. Operado pelo grupo russo [[g0102-conti-group|Wizard Spider]] como RaaS desde 2019, o Conti foi o sucessor direto do [[ryuk-ransomware|Ryuk]] e usou [[s0266-trickbot|TrickBot]] e [[bazarloader|BazarLoader]] como vetores de acesso inicial antes de sua dissolução em meados de 2022, após o vazamento de 60.000 mensagens internas e o ataque que forcou a **declaracao de emergência nacional da Costa Rica**. ## Visão Geral [[conti-ransomware-campaigns|Conti]] foi desenvolvido e mantido pelo grupo russo [[g0102-conti-group|Wizard Spider]] (também rastreado como ITG23, Gold Blackburn, DEV-0193). O ransomware e derivado do codebase do [[ryuk-ransomware|Ryuk]] e compartilhou a mesma infraestrutura [[s0266-trickbot|TrickBot]] por anos. Sua arquitetura de criptografia usando até **32 threads simultaneas** o tornava um dos ransomwares mais rapidos do mercado. O Conti operou sob um modelo RaaS diferenciado: ao contrario de outros grupos que pagam afiliados uma porcentagem do resgate, o Conti pagava **salarios fixos** aos operadores, mais semelhante a uma empresa criminosa corporativa. Os chats vazados em fevereiro de 2022 revelaram uma organização com divisoes especializadas, gerentes, e hierarquias definidas - com o lider conhecido pelos aliases "Stern" ou "Demon". Em fevereiro de 2022, após a invasao russa da Ucrania, o Conti declarou apoio ao governo russo. Um membro ucraniano retalhou vazando **60.000 mensagens internas**, código-fonte, e detalhes da infraestrutura. Apesar do golpe, o grupo continuou operações até abril de 2022, culminando no maior ataque da historia contra um governo soberano - a **Costa Rica** - antes de encerrar operações em junho de 2022. Os membros do Conti migraram para [[s1070-black-basta-ransomware|Black Basta]], [[royal-ransomware|Royal]], Quantum, [[hive-ransomware|Hive]], Karakurt e outros grupos, tornando o Conti o "pai" de grande parte do ecossistema ransomware atual. **Plataformas:** Windows ## Campanhas Notaveis ### Costa Rica - Emergência Nacional (Abril-Maio 2022) O ataque mais emblematico do Conti foi contra o governo da Costa Rica em abril de 2022. Iniciado em 17 de abril por um membro chamado "MemberX" que acessou a rede do Ministerio da Fazenda via VPN com credenciais comprometidas, o ataque rapidamente escalou para atingir mais de 30 instituicoes governamentais. O grupo roubou 672GB de dados e exigiu inicialmente USD 10 milhões de resgate, elevando para USD 20 milhões após a Costa Rica recusar pagar. Em 8 de maio de 2022, o presidente Rodrigo Chaves declarou **emergência nacional** - a primeira vez que um pais inteiro declarou emergência por ataque cibernetico. Perdas economicas estimadas em USD 30 milhões por dia nos primeiros dias. ### Saúde da Irlanda - HSE (Maio 2021) O Conti atacou o Health Service Executive (HSE) da Irlanda em maio de 2021, causando disrupcao massiva em hospitais e servicos de saúde. O grupo exigiu USD 20 milhões de resgate; o governo irlandes recusou pagar. O ataque resultou em atrasos em cirurgias e cancelamento de consultas em todo o pais. ```mermaid graph TB A["Acesso Inicial<br/>TrickBot / BazarLoader<br/>T1566 + VPN creds T1078"] --> B["Recon Interno<br/>Cobalt Strike beacons<br/>ADFind + Nltest"] B --> C["Escalada de Privilegios<br/>Mimikatz DCSync<br/>T1003 + Kerberoasting"] C --> D["Movimento Lateral<br/>PsExec + RDP<br/>T1021 ADMIN$ shares"] D --> E["Exfiltração<br/>Rclone para MEGA<br/>T1041 double extortion"] E --> F["Deploy Ransomware<br/>AES-256 32 threads<br/>T1486 + T1490 VSS"] classDef access fill:#c0392b,color:#fff classDef recon fill:#d35400,color:#fff classDef cred fill:#8e44ad,color:#fff classDef lateral fill:#2c3e50,color:#fff classDef exfil fill:#16a085,color:#fff classDef impact fill:#922b21,color:#fff class A access class B recon class C cred class D lateral class E exfil class F impact ``` ## Timeline ```mermaid timeline title Conti - Ascensao e Queda 2019 : Conti aparece como sucessor do Ryuk : Primeiro detectado em dezembro 2020 : RaaS operacional com >400 vitimas : Parceria com TrickBot para acesso 2021 : +1.000 vitimas confirmadas pelo FBI : Ataque ao HSE Irlanda - USD 20M : CISA alerta AA21-265A 2022 : Conti apoia Russia - vazamento 60k msgs : Ataque Costa Rica - emergencia nacional : Dissolução em junho 2022 : Membros migram para Black Basta / Royal ``` ## Técnicas Utilizadas | Tática | ID | Técnica | |--------|-----|---------| | Initial Access | [[t1566-spearphishing\|T1566]] | Phishing com TrickBot/BazarLoader | | Initial Access | [[t1078-valid-accounts\|T1078]] | Credenciais VPN comprometidas | | Execution | [[t1059-001-powershell\|T1059.001]] | PowerShell para execução de beacons | | Persistence | [[t1021-remote-services\|T1021]] | RDP + PsExec para persistência | | Credential Access | [[t1003-os-credential-dumping\|T1003]] | Mimikatz DCSync | | Credential Access | [[t1558-003-kerberoasting\|T1558.003]] | Kerberoasting para contas de servico | | Lateral Movement | [[t1570-lateral-tool-transfer\|T1570]] | PsExec para deploy em ADMIN$ | | Exfiltration | [[t1041-exfiltration-over-c2-channel\|T1041]] | Rclone para MEGA antes da criptografia | | Impact | [[t1490-inhibit-system-recovery\|T1490]] | Exclusao de Shadow Copies | | Impact | [[t1486-data-encrypted-for-impact\|T1486]] | AES-256 com 32 threads | ## Sucesso e Legado O impacto do Conti vai alem de seus proprios ataques. O vazamento do código-fonte e chats em 2022 permitiu que outros grupos estudassem e copiassem suas técnicas. O [[s1070-black-basta-ransomware|Black Basta]], [[royal-ransomware|Royal]] e Akira sao considerados sucessores diretos com membros do Conti. O FBI estimou que o Conti extorquiu mais de **USD 150 milhões** em pagamentos de vitimas - a maior soma já documentada para um único grupo de ransomware. Os setores mais atingidos foram varejo, seguros, manufatura e telecomúnicacoes, com o setor de saúde recebendo atencao especial. > [!latam] Costa Rica - Primeiro País a Declarar Emergência Nacional por Ataque Cibernético > O ataque ao governo da Costa Rica em 2022 foi o evento mais significativo de ransomware na história da **América Latina**: o presidente Rodrigo Chaves declarou emergência nacional, com 30+ instituições afetadas e perdas de USD 30M/dia. Este evento estabeleceu precedente para a região sobre vulnerabilidade de governos soberanos. No **Brasil**, o histórico de ataques a sistemas como o STJ (2020) e o Ministério da Saúde (2021) demonstra exposição similar ao perfil de operações do nível Conti. **Setores impactados:** [[government|governo]] - [[healthcare|saúde]] - [[financial|financeiro]] - [[critical-infrastructure|infraestrutura critica]] ## Detecção e Defesa - Monitorar execução de Cobalt Strike beacons e sinais de C2 via named pipes - Alertar para uso de `nltest /domain_trusts` e `ADFind.exe` - indicadores de recon pos-comprometimento - Detectar Rclone sendo usado para upload para MEGA ou outros servicos de cloud storage - Monitorar `vssadmin delete shadows` como indicador de pre-deploy ransomware - Restringir PsExec e SMB entre workstations (lateral movement) - Implementar MFA em VPN e RDP - vetores primarios de acesso inicial - Manter backups imutaveis offline - o Conti sistematicamente destruia backups acessiveis ## Referências - [1](https://www.cisa.gov/news-events/cybersecurity-advisories/aa21-265a) CISA - Alert AA21-265A Conti Ransomware (2021) - [2](https://www.sentinelone.com/anthology/conti/) SentinelOne - Conti Analysis and Detection (2025) - [3](https://www.bleepingcomputer.com/news/security/conti-ransomware-gang-takes-over-trickbot-malware-operation/) BleepingComputer - Conti Takes Over TrickBot (2022) - [4](https://heimdalsecurity.com/blog/check-out-these-new-details-on-the-costa-rica-government-attack-by-conti-ransomware/) Heimdal Security - Costa Rica Attack Details (2022) - [5](https://blog.bushidotoken.net/2022/11/the-continuity-of-conti.html) BushidoToken - The Continuity of Conti (2022)