Conti ransomware, lige siden den oprindelige udgivelse, har påvirket mange computersystemer og i modsætning til anden almindelig malware, det inkluderer muligheden for at bruge alle tilgængelige CPU-tråde under udførelsen. Efterhånden som flere og flere prøver indsamles, forskere bemærker, at hovedmotoren er kompileret til brug 32 CPU-tråde på én gang, en evne, der ikke ofte ses med ransomware.
Conti Ransomware ser ud til at være mere avanceret end anden lignende malware
Den Ransomware-konti som en af de nylige malware fra denne kategori ses nu som en avanceret trussel. Alt dette er hentet fra analyserne foretaget på de optagne prøver. Virussen er programmeret med udvidet hardwarekompatibilitet, som gør det muligt for truslen at kunne udvide dens behandling over flere CPU-kerner. De analyserede prøver er i stand til at spænde op til 32 tråde på samme tid, der svarer til den højere ende af desktop- og serverprocessorer, der i øjeblikket er tilgængelige.
Denne særlige trussel er designet til at betjenes af det kriminelle kollektiv snarere end at udføre automatisk og køre en integreret sekvens og derefter rapportere resultaterne til en hacker-kontrolleret server. Conti ransomware ser ud til at være oprettet som en hackingværktøj til indtrængen på offentlige agenturer og store organisationer. Denne type systemer og netværk er mere tilbøjelige til at rumme servere og maskiner, der har sådanne hardwaredele, såsom disse højtydende CPU'er.
CONTI Virus Fil (ransomware REGNSKAB) - Fjern det
Den vigtigste Conti ransomware kan styres via a kommandolinjeklient fra hackerne eksternt, så snart en infektion er foretaget. Andre tilgængelige muligheder inkluderer muligheden for springe over visse data fra at blive krypteret — visse filer kan udelukkes fra at blive krypteret, både på det lokale drev samt tilgængelig netværks SMB-andel. Kommandoen til at kryptere visse filer kan udføres ved at indtaste en liste over IP-adresser til forurenede værter med de nødvendige udvidelser.
En af grundene til at bruge denne malware i stedet for alternativer er, at den kører i en næsten lydløs måde — det kan inficere systemer uden at øge bevidstheden om sig selv. Det er fundet, at den fangede malware misbruger Windows Restart Manager — den service, der bruges af operativsystemerne, der låser data op, før Windows genstartes.
Det er meget sandsynligt, at angrebene fortsætter, da Conti automatisk kan låse adgang til systemet og manipulere kørende processer — inklusive system- og brugerinstallerede applikationer. Dette betyder, at aktive kan lukkes og også overvåges for brugernes handlinger. Ved at bruge denne tilgang kan malware få adgang til brugerinput, der potentielt kan bruges til forskellige forbrydelser - identitetstyveri, data indsamling, finansiel misbrug og etc.
Conti ransomware er udtænkt og kørt af en ukendt hacking-gruppe - det ser ud til, at de er meget erfarne med at udtænke en så kompleks trussel. Yderligere angrebskampagner og opdateringer til Conti forventes.
Martin Beltov
Martin dimitterede med en grad i Publishing fra Sofia Universitet. Som en cybersikkerhed entusiast han nyder at skrive om de nyeste trusler og mekanismer indbrud.
Følg mig: