O ransomware Conti, desde seu lançamento inicial, impactou muitos sistemas de computador e, ao contrário de outros malwares comuns, inclui a capacidade de usar todos os threads de CPU disponíveis durante sua execução. À medida que mais e mais amostras são coletadas, pesquisadores observam que o motor principal foi compilado para usar 32 Threads da CPU de uma só vez, uma habilidade que não é comumente vista com ransomware.
O Conti Ransomware parece ser mais avançado que outro malware semelhante
o Contas de ransomware como um dos malwares recentes dessa categoria agora é visto como uma ameaça avançada. Tudo isso é extraído das análises feitas nas amostras capturadas. O vírus está programado com compatibilidade estendida de hardware, o que permite à ameaça estender sua processamento em vários núcleos da CPU. As amostras analisadas podem abranger até 32 threads ao mesmo tempo, o que corresponde à extremidade superior dos processadores de desktop e servidor atualmente disponíveis.
Essa ameaça específica foi projetada para ser operada pelo coletivo criminoso, em vez de ser executada automaticamente e executar uma sequência integrada e, em seguida, relatar os resultados para um servidor controlado por hackers. O ransomware Conti parece ter sido criado como um ferramenta de invasão para invasões a agências governamentais e grandes organizações. É mais provável que esses tipos de sistemas e redes alojem servidores e máquinas que possuem peças de hardware, como as CPUs de alto desempenho.
CONTI arquivo de vírus (ransomware CONTAS) - Remova
O principal ransomware da Conti pode ser controlado por um cliente de linha de comando dos hackers remotamente assim que uma infecção é feita. Outras opções disponíveis incluem a capacidade de ignorar a criptografia de determinados dados — determinados arquivos podem ser excluídos de serem criptografados, tanto na unidade local quanto no compartilhamento SMB em rede acessível. O comando para criptografar certos arquivos pode ser feito alimentando uma lista de endereços IP de hosts contaminados com as extensões necessárias.
Um dos motivos para usar esse malware em vez de alternativas é que ele é executado em um maneira quase silenciosa — ele pode infectar sistemas sem conscientizar a si mesmo. O malware capturado foi encontrado para abusar do Gerenciador de reinicialização do Windows — o serviço usado pelos sistemas operacionais que desbloqueia dados antes da reinicialização do Windows.
É muito provável que os ataques continuem, pois a Conti pode desbloquear automaticamente o acesso ao sistema e manipular processos em execução — incluindo aplicativos instalados pelo sistema e pelo usuário. Isso significa que os ativos podem ser desligados e também monitorados para ações dos usuários. Ao usar essa abordagem, o malware pode acessar informações do usuário que podem ser potencialmente usadas para vários crimes - roubo de identidade, coleta de dados, abuso financeiro e etc.
O ransomware da Conti é desenvolvido e executado por um grupo de hackers desconhecido - parece que eles têm muita experiência na criação de uma ameaça tão complexa. Outras campanhas de ataque e atualizações para o Conti são esperadas.
Martin Beltov
Martin formou-se na publicação da Universidade de Sofia. Como a segurança cibernética entusiasta ele gosta de escrever sobre as ameaças mais recentes e mecanismos de invasão.
Me siga: