# Conti Ransomware > Tipo: **ransomware RaaS** - S0575 - [MITRE ATT&CK](https://attack.mitre.org/software/S0575) > [!warning] Encerrado em 2022 - Legado nos Grupos Sucessores > O Conti encerrou operações em maio de 2022 após vazamento catastrofico de seus chats internos em fevereiro de 2022. Seus operadores migraram para grupos como Black Basta, Quantum, Royal e Hive. O código e TTPs do Conti continuam em uso por múltiplos grupos ativos. ## Visão Geral [[s0575-conti-ransomware|Conti]] foi o ransomware-as-a-service mais lucrativo já documentado, com receita estimada em **US$2,7 bilhoes** e mais de 1.000 vitimas em 2 anos de operação (2020-2022). Desenvolvido e operado pelo [[g0102-conti-group|Wizard Spider]] como evolução do [[ryuk-ransomware|Ryuk]], o Conti inovou o modelo RaaS ao tratar afiliados como **funcionarios assalariados** em vez de parceiros percentuais - criando uma organização criminosa com estrutura corporativa completa, incluindo times de desenvolvimento, RH, suporte tecnico e operações. O Conti foi entregue inicialmente via cadeia [[s0367-emotet|Emotet]] -> [[s0266-trickbot|TrickBot]] -> [[bazarloader|BazarLoader]] -> Conti. Os operadores realizavam reconhecimento manual extenso antes de implantar o ransomware, priorizando organizacoes com receita superior a US$100 milhões. O ataque ao governo da **Costa Rica em abril de 2022** - que levou a declaracao de emergência nacional - foi o mais simbolico: o Conti exigiu US$20 milhões e chegou a ameaçar derrubar o governo. O vazamento de **fevereiro de 2022** - mais de 60.000 mensagens internas, código-fonte completo e procedimentos operacionais - expoe a organização em detalhes sem precedentes na historia do cibercrime. O código vazado foi reutilizado por pelo menos 10 grupos de ransomware subsequentes. **Plataformas:** Windows ## Como Funciona O Conti opera com modelo em 3 fases tipicas: 1. **Entrega inicial via loaders:** [[bazarloader|BazarLoader]] ou [[s0266-trickbot|TrickBot]] como primeiro estagio, entregues via campanhas de phishing ([[t1566-001-spearphishing-attachment|T1566.001]]) ou credenciais válidas ([[t1078-valid-accounts|T1078]]) 2. **Reconhecimento extenso:** Operadores manuais conduzem reconhecimento de Active Directory, identificação de backups, servidores criticos e estimativa de capacidade de pagamento da vitima 3. **Escalada via [[s0154-cobalt-strike|Cobalt Strike]]:** Kerberoasting ([[t1558-003-kerberoasting|T1558.003]]), dump de credenciais com Mimikatz, movimento lateral via SMB ([[t1021-002-smb-windows-admin-shares|T1021.002]]) 4. **Exfiltração com Rclone:** Dados exfiltrados para armazenamento remoto antes da criptografia - extorsao dupla garantida 5. **Implantação do ransomware:** PowerShell ([[t1059-001-powershell|T1059.001]]) para distribuir o payload via GPO, terminar servicos ([[t1489-service-stop|T1489]]), deletar backups ([[t1490-inhibit-system-recovery|T1490]]) e criptografar com ChaCha20 ```mermaid graph TB A["BazarLoader / TrickBot<br/>Phishing T1566.001<br/>Entrega inicial"] --> B["Cobalt Strike beacon<br/>Reconhecimento manual<br/>Avaliacao da vitima"] B --> C["Escalada privilegios<br/>Kerberoasting T1558.003<br/>Mimikatz - domain admin"] C --> D["Movimento lateral<br/>SMB Admin Shares T1021.002<br/>Deploy em todos os hosts"] D --> E["Exfiltração Rclone<br/>Extorsao dupla<br/>Leak site como pressao"] E --> F["Preparação pre-ransom<br/>Terminar AV e backups<br/>Deletar shadow copies T1490"] F --> G["Conti ransomware<br/>ChaCha20 + RSA<br/>Nota - email negociacao"] classDef loader fill:#e74c3c,color:#fff classDef recon fill:#27ae60,color:#fff classDef priv fill:#e67e22,color:#fff classDef lateral fill:#2980b9,color:#fff classDef exfil fill:#8e44ad,color:#fff classDef prep fill:#c0392b,color:#fff classDef encrypt fill:#2c3e50,color:#fff class A loader class B recon class C priv class D lateral class E exfil class F prep class G encrypt ``` ## Timeline ```mermaid timeline title Conti Ransomware - Historico Fev 2020 : Primeiras infeccoes Conti detectadas 2020-2021 : Cadeia Emotet-TrickBot-Conti dominante : Big game hunting - saude e governo Ján 2022 : Ataque ao Hospital Universitario Ulm Fev 2022 : Vazamento 60k mensagens - código e estrutura : Conti ameaça apoiar Russia na guerra Ucrania Abr 2022 : Ataque Costa Rica - emergencia nacional Mai 2022 : Conti encerra operacoes formalmente 2022-2025 : Código reutilizado por Black Basta, Quantum, Royal ``` ## Técnicas Utilizadas | Tática | ID | Técnica | |--------|-----|---------| | Initial Access | [[t1566-001-spearphishing-attachment\|T1566.001]] | Phishing com anexo malicioso | | Initial Access | [[t1078-valid-accounts\|T1078]] | Valid Accounts | | Initial Access | [[t1133-external-remote-services\|T1133]] | External Remote Services | | Credential Access | [[t1110-brute-force\|T1110]] | Brute Force | | Credential Access | [[t1558-003-kerberoasting\|T1558.003]] | Kerberoasting | | Execution | [[t1059-001-powershell\|T1059.001]] | PowerShell | | Lateral Movement | [[t1021-002-smb-windows-admin-shares\|T1021.002]] | SMB/Windows Admin Shares | | Impact | [[t1486-data-encrypted-for-impact\|T1486]] | Criptografia ChaCha20 | | Impact | [[t1489-service-stop\|T1489]] | Terminar servicos | | Impact | [[t1490-inhibit-system-recovery\|T1490]] | Deletar shadow copies | ## Relevância LATAM/Brasil O [[s0575-conti-ransomware|Conti]] teve impacto documentado no Brasil e LATAM. O ataque a **Costa Rica em 2022** - com disrupcao total dos sistemas de alfandega e governo - demonstrou a disposicao do grupo em atacar infraestrutura governamental latino-americana. O CERT.br documentou campanhas de phishing em portugues brasileiro distribuindo [[bazarloader|BazarLoader]] como primeiro estagio da cadeia Conti. Setores brasileiros de [[healthcare|saúde]] foram alvos primarios: o [[g0102-conti-group|Wizard Spider]] repetiu o padrao global de atacar hospitais durante a pandemia de COVID-19, quando sistemas hospitalares estavam sob maxima pressao operacional. O código vazado do Conti foi base para pelo menos dois grupos ativos no Brasil: **Black Basta** e **Quantum**, ambos com vitimas documentadas no [[government|governo]] e [[financial|financeiro]] brasileiros em 2022-2023. **Setores impactados:** [[government|governo]] - [[healthcare|saúde]] - [[financial|financeiro]] - [[technology|tecnologia]] ## Detecção - Monitorar uso de BazarLoader e TrickBot como indicadores de compromisso pre-Conti - Detectar Cobalt Strike beacons - Conti usou Cobalt Strike em práticamente 100% das intrusoes - Alertar para enumeracao massiva de Active Directory, especialmente fora do horario comercial - Monitorar uso de Rclone para transferencia de grandes volumes de dados para storage externo ```sigma title: Conti Ransomware Pre-Deployment Activity status: stable logsource: category: process_creation product: windows detection: selection_cobalt: CommandLine|contains: - 'net group "Domain Admins"' - 'nltest /domain_trusts' - 'AdFind.exe' condition: selection_cobalt level: high tags: - attack.discovery - attack.t1087 - code/distill ``` ## Referências - [1](https://attack.mitre.org/software/S0575) MITRE ATT&CK - S0575 Conti (2024) - [2](https://www.cisa.gov/news-events/cybersecurity-advisories/aa21-265a) CISA - Advisory AA21-265A Conti Ransomware (2021) - [3](https://www.ic3.gov/CSA/2022/220504.pdf) FBI/CISA - StopRansomware Conti Updaté Costa Rica (2022) - [4](https://thedfirreport.com/2021/08/01/bazarcall-to-conti-ransomware-via-trickbot-and-cobalt-strike/) DFIR Report - BazarCall to Conti via TrickBot and Cobalt Strike (2021) - [5](https://www.bleepingcomputer.com/news/security/conti-ransomware-shuts-down-operation-rebrands-into-smaller-units/) BleepingComputer - Conti Shuts Down Rebrands Into Smaller Units (2022)