De Conti-ransomware, sinds de eerste release, heeft veel computersystemen beïnvloed en in tegenstelling tot andere veelvoorkomende malware, het bevat de mogelijkheid om alle beschikbare CPU-threads te gebruiken tijdens de uitvoering ervan. Naarmate er meer en meer monsters worden verzameld, onderzoekers merken op dat de hoofdengine is samengesteld om te gebruiken 32 CPU-threads tegelijk, een mogelijkheid die niet vaak wordt gezien bij ransomware.
De Conti Ransomware lijkt geavanceerder te zijn dan andere vergelijkbare malware
Het Ransomware-accounts aangezien een van de recente malware uit deze categorie nu wordt gezien als een geavanceerde bedreiging. Dit alles is afkomstig uit de analyses die zijn gemaakt op de gevangen monsters. Het virus is geprogrammeerd met uitgebreide hardwarecompatibiliteit waardoor de dreiging het kan uitbreiden verwerking via meerdere CPU-kernen. De geanalyseerde monsters kunnen tot oplopen 32 threads tegelijkertijd, wat overeenkomt met het hogere niveau van desktop- en serverprocessors die momenteel beschikbaar zijn.
Deze specifieke bedreiging is ontworpen om te worden beheerd door het criminele collectief in plaats van automatisch uit te voeren en een geïntegreerde reeks uit te voeren en vervolgens de resultaten te rapporteren aan een door een hacker gecontroleerde server. De Conti ransomware lijkt te zijn gemaakt als een hacktool voor inbraken bij overheidsinstanties en grote organisaties. Dit soort systemen en netwerken herbergen waarschijnlijk servers en machines die dergelijke hardware-onderdelen hebben, zoals deze krachtige CPU's.
CONTI Virus File (ransomware REKENINGEN) - Verwijder het
De belangrijkste Conti ransomware kan worden beheerd via een opdrachtregel-client van de hackers op afstand zodra er een infectie is gemaakt. Andere beschikbare opties zijn de mogelijkheid om sla bepaalde gegevens over om niet te worden versleuteld — bepaalde bestanden kunnen worden uitgesloten van versleuteling, zowel op de lokale schijf als op toegankelijke netwerk-SMB-share. De opdracht om bepaalde bestanden te versleutelen kan worden gedaan door een lijst met IP-adressen van besmette hosts in te voeren met de nodige extensies.
Een van de redenen om deze malware te gebruiken in plaats van alternatieven is dat het in een bijna stille manier — het kan systemen infecteren zonder het bewustzijn van zichzelf te vergroten. De gevangen malware is gevonden misbruik maken van Windows Restart Manager — de service die wordt gebruikt door de besturingssystemen die gegevens ontgrendelt voordat Windows opnieuw wordt opgestart.
Het is zeer waarschijnlijk dat de aanvallen doorgaan, aangezien Conti automatisch de toegang tot het systeem kan ontgrendelen en manipuleer lopende processen — inclusief systeem en door de gebruiker geïnstalleerde applicaties. Dit betekent dat actieve apparaten kunnen worden afgesloten en ook kunnen worden gecontroleerd op acties van gebruikers. Door deze benadering te gebruiken, heeft de malware toegang tot gebruikersinvoer die mogelijk kan worden gebruikt voor verschillende misdaden - identiteitsdiefstal, data verzamelen, financieel misbruik en etc.
De Conti ransomware wordt bedacht en beheerd door een onbekende hackgroep - het lijkt erop dat ze zeer ervaren zijn in het bedenken van zo'n complexe bedreiging. Verdere aanvalscampagnes en updates voor Conti worden verwacht.
Martin Beltov
Martin studeerde af met een graad in de uitgeverij van de universiteit van Sofia. Als een cyber security enthousiast dat hij geniet van het schrijven over de nieuwste bedreigingen en de mechanismen van inbraak.
Volg mij: