conti - RunkIntel

# Conti > Ransomware-as-a-Service operado pelo grupo russo [[g0102-conti-group|Wizard Spider]], ativo de 2019 a 2022. Um dos grupos de ransomware mais prolıficos da historia - mais de 400 vitimas em dois anos. O vazamento interno de 2022 ("Conti Leaks") expou sua estrutura corporativa e acelerou a dissolução do grupo, cujos ex-membros migraram para [[black-basta|Black Basta]], [[royal-ransomware|Royal]] e outras operações RaaS. ## Visão Geral **Conti** e um Ransomware-as-a-Service (RaaS) operado pelo grupo russo [[g0102-conti-group|Wizard Spider]] (aka TrickBot Gang), observado pela primeira vez em dezembro de 2019 como sucessor direto do [[s0446-ryuk|Ryuk]]. Ao longo de dois anos, o Conti se tornou o grupo de ransomware mais prolıfico do mundo, extorquindo centenas de milhões de dólares de hospitais, governos e empresas globalmente. O modelo RaaS do Conti era altamente profissionalizado: desenvolvedores recebiam salario fixo, havia equipes de RH, helpdesk e suporte tecnico para vitimas - estrutura revelada pelo vazamento de comúnicacoes internas em 2022. | Campo | Detalhe | |-------|---------| | MITRE ID | S0575 | | Operador | [[g0102-conti-group\|Wizard Spider]] | | Ativo | 2019-2022 (formalmente dissolvido) | | Modelo | RaaS com afiliados e salarios fixos | | Plataforma | Windows | | Criptografia | AES-256 + ChaCha20 (multi-thread, 32 threads) | | Extorsao | Dupla - criptografia + site "Conti News" | ## Como Funciona ### Cadeia de Infecção Completa O Conti raramente usava acesso inicial proprio. Dependia de outros servicos do ecossistema Wizard Spider: 1. **Acesso inicial via botnets** - [[s0266-trickbot|TrickBot]], [[bazarloader|BazarLoader]] ou [[s0483-icedid|IcedID]] fornecem foothold inicial 2. **Reconhecimento via Cobalt Strike** - post-exploitacao, mapeamento do AD, coleta de credenciais via Mimikatz 3. **Lateral movement** - SMB Admin Shares (`T1021.002`), PsExec, RDP com credenciais roubadas 4. **Privilegio máximo** - Kerberoasting (`T1558.003`), named pipe impersonation para SYSTEM 5. **Exfiltração** - Rclone ou Cobalt Strike para exfiltrar dados para o site de dupla extorsao 6. **Cifragem** - para servicos (146 via `net stop`), deleta shadow copies, criptografa com AES-256 ### Dupla Extorsao - "Conti News" Antes de criptografar, o Conti exfiltrava dados sensiveis para o site "Conti News" na dark web. Vitimas recebiam dois ultimatos: - Pagar para descriptografar arquivos - Pagar para nao ter dados públicados no site ### Conti Leaks - Fevereiro 2022 Um pesquisador ucraniano simpatizante da Ucrania vazou mais de 200.000 mensagens internas do grupo após o Conti se declarar pro-Russia na invasao: - Código-fonte completo do ransomware - Paineis de controle e infraestrutura C2 - Comúnicacoes internas revelando estrutura corporativa - Manuais operacionais e técnicas de evasão de EDR - Identidades parciais de membros do grupo O vazamento revelou o Conti como uma empresa criminosa com 60-100 funcionarios, departamentos de RH, contabilidade e P&D. ## Attack Flow ```mermaid graph TB A["📧 TrickBot ou BazarLoader Phishing - credenciais RDP Acesso inicial comprometido"] --> B["🔧 Cobalt Strike Beacon Reconhecimento do AD Coleta de credenciais Mimikatz"] B --> C["🔍 Lateral Movement SMB Admin Shares T1021.002 PsExec - RDP com creds roubadas"] C --> D["💥 Privilege Escalation Kerberoasting T1558.003 Named pipe - SYSTEM level"] D --> E["📤 Pre-ransomware Rclone exfiltração de dados Stop 146 servicos T1489"] E --> F["💀 Cifragem Conti AES-256 - 32 threads Delete shadows T1490"] classDef delivery fill:#c0392b,color:#fff classDef recon fill:#27ae60,color:#fff classDef lateral fill:#3498db,color:#fff classDef privesc fill:#e67e22,color:#fff classDef preenc fill:#9b59b6,color:#fff classDef impact fill:#1a252f,color:#fff class A delivery class B recon class C lateral class D privesc class E preenc class F impact ``` ## Timeline ```mermaid timeline title Conti - Ciclo de Vida e Legado 2019-12 : Conti identificado pela primeira vez : Sucessor do Ryuk (Wizard Spider) 2020 : Expansao para modelo RaaS profissionalizado : CISA emite advisory conjunto 2021 : Mais de 400 vitimas documentadas : Healthcare e governo como alvos prioritarios 2022-02 : Conti Leaks - pesquisador ucraniano : 200k mensagens e código-fonte vazados 2022-04 : Ataque ao governo da Costa Rica : Estado de emergencia nacional declarado 2022-05 : Conti formalmente dissolvido : Membros migram para Black Basta e Royal 2025 : Código Conti ainda usado em variantes ativas : Black Basta liders identificados (FBI) ``` ## TTPs Mapeados | Técnica | ID MITRE | Descrição | |---------|----------|-----------| | SMB Admin Shares | [[t1021-002-smbwindows-admin-shares\|T1021.002]] | Propagação lateral sem interação do usuario | | Network Share Discovery | [[t1135-network-share-discovery\|T1135]] | Identifica e criptografa compartilhamentos | | Service Stop | [[t1489-service-stop\|T1489]] | Para 146 servicos pre-cifragem | | Data Encrypted for Impact | [[t1486-data-encrypted-for-impact\|T1486]] | AES-256 multi-thread (32 threads) | | Inhibit System Recovery | [[t1490-inhibit-system-recovery\|T1490]] | Deleta shadow copies via vssadmin/wmic | | DLL Injection | [[t1055-001-dynamic-link-library-injection\|T1055.001]] | Execução furtiva em processos legitimos | | Taint Shared Content | [[t1080-taint-shared-content\|T1080]] | Contamina compartilhamentos de rede | | Valid Accounts | [[t1078-valid-accounts\|T1078]] | Uso de credenciais roubadas via Kerberoasting | | Kerberoasting | [[t1558-003-kerberoasting\|T1558.003]] | Obtencao de hashes de servico do AD | | Obfuscated Files | [[t1027-obfuscated-files-or-information\|T1027]] | Ofuscação de configuração e payloads | | Windows Command Shell | [[t1059-003-windows-command-shell\|T1059.003]] | Scripts de automacao de cifragem | | Deobfuscaté/Decode | [[t1140-deobfuscatedecode-files-or-information\|T1140]] | Decriptacao de config embutida em runtime | ## Relevância LATAM O [[g0102-conti-group|Wizard Spider]] e afiliados Conti identificaram o Brasil e LATAM como mercados prioritarios pela combinacao de organizacoes de alta receita e menor maturidade em backup e resposta a incidentes. **Ataque mais significativo na regiao:** Em 2022, o Conti atacou o governo da Costa Rica em múltiplas waves, causando crise nacional e levando o presidente a declarar **estado de emergência** - a primeira vez na historia que um ataque de ransomware levou a uma declaracao de emergência nacional. **Brasil:** Apura Cyber Intelligence documentou que o Brasil liderou vitimas de dupla extorsao na América Latina, com mais de 400 vitimas de 17 grupos RaaS ativos entre 2020-2023, sendo o Conti e seus sucessores responsaveis por parcela significativa. Setores mais afetados no Brasil e LATAM: - [[healthcare|Saúde]] - hospitais com dados de pacientes de alto valor - [[government|Governo]] - municipios e estados com backups deficientes - [[manufacturing|Manufatura]] - industrias com downtime critical - [[financial|Financeiro]] - PMEs do setor financeiro O código-fonte do Conti (vazado em 2022) foi adotado por grupos locais como base para ransomware customizado, aumentando o ecossistema de ameaças na regiao. ## Detecção e Defesa **Detecção critica:** - Monitorar `net stop` em series de 50+ servicos em sequencia rapida - Alertar para `vssadmin delete shadows /all` ou `wmic shadowcopy delete` - Detectar AdFind, nltest, net view em hosts nao-administrativos - Identificar Cobalt Strike beacons via trafego C2 caracteristico **Sigma rules prioritarias:** - `proc_creation_win_vssadmin_delete_shadows.yml` - exclusao de shadow copies - `proc_creation_win_net_stop_service.yml` - parada em massa de servicos - `win_susp_cobaltstrike_ps_patterns.yml` - padroes PowerShell do Cobalt Strike **Mitigacoes estruturais:** - MFA obrigatorio para RDP e VPN - Backup 3-2-1 com copia offsite air-gapped - Segmentacao de rede - limitar propagação SMB lateral - Privilegio mínimo para contas de servico ## Grupos Sucessores Com o vazamento e dissolução do Conti em 2022, ex-membros e afiliados formaram ou se juntaram a: | Grupo Sucessor | Status | Conexão com Conti | |---------------|--------|------------------| | [[black-basta\|Black Basta]] | Ativo (2022-2025) | Lideres identificados como ex-Conti | | [[royal-ransomware\|Royal]] | Ativo (2022-2024) | Código e TTPs compartilhados | | [[lockbit\|LockBit]] | Disrupted (2024) | Absorveu afiliados Conti | | [[cl0p\|Cl0p]] | Ativo | Ex-afiliados Conti | ## Referências - [1](https://attack.mitre.org/software/S0575/) MITRE ATT&CK - S0575 Conti - [2](https://media.defense.gov/2021/Sep/22/2002859507/-1/-1/0/CSA_CONTI_RANSOMWARE_20210922.PDF) CISA/FBI/NSA - Conti Ransomware Advisory - [3](https://darkatlas.io/blog/threat-profile-conti-ransomware-group) Dark Atlas - Conti Threat Profile - [4](https://www.sentinelone.com/anthology/conti/) SentinelOne - Conti Anthology - [5](https://www.vectra.ai/modern-attack/threat-actors/conti) Vectra AI - Conti TTPs --- **Ver também:** [[g0102-conti-group]] - [[black-basta]] - [[royal-ransomware]] - [[s0266-trickbot]] - [[s0154-cobalt-strike]] - [[government|Governo]] - [[healthcare|Saúde]] - [[_malware]]