conti-ransomware-operations

# Conti Ransomware > [!critical] RaaS do Wizard Spider - Maior Operação de Ransomware 2020-2022 > Conti foi o ransomware-as-a-service mais destrutivo de 2021, operado pelo grupo russo **Wizard Spider**, responsável por mais de 1.000 vítimas globais e US$180+ milhões em receita. Atacou o HSE da Irlanda, o governo da Costa Rica e dezenas de hospitais. Encerrou operações em maio de 2022 após vazamento de chats internos e ataque ao governo da Costa Rica. ## Visão Geral Conti foi uma operação de RaaS (Ransomware-as-a-Service) desenvolvida e operada pelo grupo [[g0102-conti-group]], um grupo de ameaça russo-falante com base em São Petersburgo, Rússia. Ativo desde outubro de 2019, o Conti rapidamente se tornou a operação de ransomware mais prolífica do mundo, superando o REvil e LockBit em número de vítimas e receita em 2021. O modelo operacional do Conti era diferente do RaaS tradicional: em vez de vender acesso ao painel para afiliados externos, o Wizard Spider operava o Conti como empresa interna estruturada, com funcionários divididos em equipes especializadas (desenvolvimento, TI, negociação, OSINT). Conversas internas vazadas em fevereiro de 2022 revelaram uma organização com dezenas de funcionários recebendo salários regulares - uma verdadeira empresa criminosa profissional. O vazamento das conversas internas ocorreu após o [[g0102-conti-group]] declarar apoio à Rússia durante a invasão da Ucrânia em fevereiro de 2022. Um membro ucraniano do grupo vazou 160.000 mensagens internas, expondo TTPs, infraestrutura e operações em andamento. Este vazamento acelerou o declínio do grupo, que formalmente encerrou a marca Conti em maio de 2022, migrando afiliados para grupos subsidiários como Black Basta, BlackByte e Karakurt. ## Como Funciona **Cadeia de infecção típica:** 1. Acesso inicial via campanha de spear-phishing (TrickBot, BazarLoader ou Emotet) 2. Ou via exploração de VPNs e RDP públicos com credenciais comprometidas 3. Reconhecimento com ADFind, BloodHound e Nltest 4. Movimento lateral via PsExec, SMB e Cobalt Strike 5. Escalada de privilégios via Kerberoasting e Mimikatz 6. Exfiltração de dados via MEGAsync ou Rclone para TOR 7. Implantação do Conti encryptor via GPO ou PsExec 8. Criptografia simultânea de múltiplos endpoints **Características técnicas do encryptor:** - Escrito em C++ com criptografia híbrida ChaCha20 + RSA-4096 - Multi-threaded para velocidade máxima de criptografia - Suporte a modo rápido (partial encryption) para grandes arquivos - Propaga automaticamente via SMB para compartilhamentos de rede - Exclui Shadow Copies e desabilita recuperação do sistema **Modelo de dupla extorsão:** - Site TOR "Conti News" com lista de vítimas e amostras de dados - Negociação por chat privado com prazo de 7-10 dias - Publicação parcial de dados como pressão antes do prazo - Publicação total se o resgate não for pago ## Attack Flow ```mermaid graph TB A["📧 Phishing/BazarLoader TrickBot ou Emotet como acesso inicial"] --> B["🔍 Reconhecimento AD ADFind, BloodHound Nltest para mapeamento"] B --> C["⬆️ Escalada Kerberoasting Mimikatz creds"] C --> D["↔️ Movimento Lateral Cobalt Strike PsExec via SMB"] D --> E["📤 Exfiltração MEGAsync ou Rclone para TOR"] E --> F["💀 Preparo Shadow Copies excluídas GPO para distribuição"] F --> G["🔒 Criptografia ChaCha20 + RSA-4096 multi-threaded"] G --> H["💰 Extorsão Dupla Site Conti News TOR negociação por chat"] ``` **Legenda:** [[g0102-conti-group]] · [[t1486-data-encrypted-for-impact|T1486]] · [[t1490-inhibit-system-recovery|T1490]] · [[t1078-valid-accounts|T1078]] ## Timeline ```mermaid timeline title Conti Ransomware - Linha do Tempo 2019-10 : Conti identificado : Wizard Spider como operador : Substitui Ryuk ransomware 2021 : Pico de atividade : 1000 vitimas globais : US$180M em receita 2021-05 : HSE Irlanda atacado : Sistema de saúde fora do ar : Decryptor fornecido gratuitamente 2022-02 : Invasão da Ucrânia : Wizard Spider apoia Russia : Membro ucraniano vaza chats 2022-04 : Costa Rica atacada : Governo declara emergência nacional : Primeiro país a declarar estado de guerra contra ransomware 2022-05 : Encerramento da marca : Conti migra para grupos subsidiários : Black Basta e BlackByte surgem ``` ## TTPs MITRE ATT&CK | Técnica | ID | Descrição | |---------|-----|-----------| | Data Encrypted for Impact | [[t1486-data-encrypted-for-impact\|T1486]] | ChaCha20 + RSA-4096, multi-threaded | | Inhibit System Recovery | [[t1490-inhibit-system-recovery\|T1490]] | Exclusão de Shadow Copies e backups | | Valid Accounts | [[t1078-valid-accounts\|T1078]] | Credenciais comprometidas para acesso | | Spearphishing Attachment | [[t1566-001-spearphishing-attachment\|T1566.001]] | Documentos com TrickBot/BazarLoader | | Spearphishing Link | [[t1566-002-spearphishing-link\|T1566.002]] | Links para instaladores maliciosos | | Windows Command Shell | [[t1059-003-windows-command-shell\|T1059.003]] | PsExec e comandos de distribuição | | Kerberoasting | [[t1558-003-kerberoasting\|T1558.003]] | Extração de hashes de service accounts | ## Relevância para o Brasil e LATAM > [!latam] Costa Rica e Brasil: Alvos Documentados do Conti > O Conti declarou estado de emergência nacional na **Costa Rica** em 2022 — primeira nação a declarar guerra a um grupo de ransomware. Empresas brasileiras de **saúde**, **manufatura** e **varejo** aparecem no site de vazamento do Conti em 2021-2022. Os grupos herdeiros **Black Basta** e **Karakurt** continuam ativos contra alvos brasileiros em 2024-2026. O Conti e o [[g0102-conti-group]] tiveram impacto significativo na América Latina, com o ataque à Costa Rica sendo um marco histórico: **Ataque histórico à Costa Rica (2022):** - Em abril de 2022, o Conti comprometeu o Ministério da Fazenda e outras agências do governo da Costa Rica - O governo declarou estado de emergência nacional - o primeiro país do mundo a declarar guerra contra um grupo de ransomware - O impacto durou semanas, paralisando importações e exportações por indisponibilidade do sistema aduaneiro **Vítimas brasileiras documentadas:** - Empresas brasileiras de saúde, manufatura e varejo aparecem no site de vazamento do Conti em 2021-2022 - O setor hospitalar brasileiro foi específicamente alertado pelo Ministério da Saúde sobre o Conti em 2021 - Grupos afiliados ao Wizard Spider operavam com recursos do Conti contra alvos na LATAM **Legado nos grupos sucessores:** - Black Basta (surgido em 2022) herdou afiliados, TTPs e infraestrutura do Conti - Os grupos Black Basta e Karakurt continuam ativos contra alvos brasileiros em 2024-2026 - O modelo de operação empresarial interna do Conti foi adotado por múltiplos grupos posteriores ## Detecção e Defesa **Indicadores de comprometimento:** > [!ioc]- IOCs - Conti Ransomware (TLP:GREEN) > **Extensão de arquivo:** > `.CONTI` adicionado a arquivos criptografados > > **Nota de resgate:** > `CONTI_README.txt` em diretórios afetados > > **Comandos característicos:** > `vssadmin delete shadows /all /quiet` > `net stop "vss"` e encerramento de serviços > > **Ferramentas associadas:** > ADFind, BloodHound, Cobalt Strike, Rclone, MEGAsync > > **Fonte:** [CISA AA21-265A](https://www.cisa.gov) · [Sophos Conti Analysis](https://news.sophos.com) **Mitigações:** - Implementar backups testados e armazenados offline (imunes a criptografia em rede) - Bloquear ou monitorar ADFind e BloodHound no ambiente (ferramentas de reconhecimento) - Detectar Kerberoasting via monitoramento de Event ID 4769 com tickets RC4-HMAC - Monitorar transferências de dados via MEGAsync e Rclone para destinos externos - Implementar MFA para todas as contas com acesso privilegiado (Domain Admin, Enterprise Admin) ## Referências - [1](https://www.cisa.gov/news-events/cybersecurity-advisories/aa21-265a) CISA - Conti Ransomware AA21-265A (2021) - [2](https://attack.mitre.org/software/S0575/) MITRE ATT&CK - Conti S0575 - [3](https://news.sophos.com/en-us/2021/02/16/what-to-expect-when-youve-been-hit-with-conti-ransomware/) Sophos X-Ops - Conti Ransomware Incident Analysis (2021) - [4](https://www.mandiant.com/resources/blog/wizard-spider-complex-ransomware) Mandiant - Wizard Spider and the Conti Operation (2022) - [5](https://www.bleepingcomputer.com/news/security/conti-ransomware-shuts-down-operation-rebrands-into-smaller-units/) BleepingComputer - Conti Shuts Down, Rebrands into Smaller Units (2022) - [6](https://krebsonsecurity.com/2022/04/conti-ransomware-group-diaries-part-iii-weaponry/) Krebs on Security - Conti Ransomware Leaked Chats Analysis (2022)