آشنایی با باج‌افزار Conti، نحوه حمله، نمونه حملات و روش‌های مقابله

باج‌افزار Conti چیست؟

باج‌افزار Conti یکی از نمونه‌های «باج‌افزار به‌عنوان سرویس» (RaaS) است که از سال ۲۰۲۰ فعال بوده است. گمان می‌رود که این عملیات توسط گروهی از مجرمان سایبری مستقر در روسیه انجام می‌شود و به دلیل حملات تهاجمی به مجموعه وسیعی از سازمان‌های دولتی و خصوصی شهرت دارد. این حملات شامل مراکز درمانی، مؤسسات آموزشی، دولت‌ها، زیرساخت‌های حیاتی، خدمات اضطراری و کسب‌وکارهای مختلف می‌شود.

این گروه که با نام «Wizard Spider» نیز شناخته می‌شود، احتمالاً از نسخه‌ای قبلی به نام «باج‌افزار Ryuk» منشأ گرفته و ارتباط نزدیکی با دولت روسیه دارد. گروه Conti در فاصله دسامبر ۲۰۱۹ تا مه ۲۰۲۲ بیشترین فعالیت را داشت و تنها در سال ۲۰۲۱ حدود ۱۸۰ میلیون دلار درآمد کسب کرد.

نحوه عملکرد باج‌افزار Conti

باج‌افزار Conti بر اساس مدل RaaS عمل می‌کند، به این معنا که توسعه‌دهندگان آن نرم‌افزار را در اختیار دیگر مجرمان سایبری قرار می‌دهند. این «همکاران» با استفاده از این بدافزار به قربانیان حمله کرده و درصدی از باج دریافت‌شده را به گروه Conti می‌پردازند.

نحوه نفوذ

ویروس Conti از طریق روش‌های مختلفی وارد محیط IT قربانی می‌شود، از جمله:

• ایمیل‌های فیشینگ که لینک دانلودی از Google Drive دارند و بدافزاری به نام BazarLoader در آن قرار دارد

• سوءاستفاده از آسیب‌پذیری‌های نرم‌افزاری (مثلاً در پروتکل SMB ویندوز)

• استفاده از بدافزارهایی مثل TrickBot یا ابزارهای شبیه‌سازی حمله مانند Cobalt Strike

• استفاده از بدافزارهای در پشتی برای اتصال دستگاه قربانی به سرورهای کنترل و فرمان (C2)

گسترش (Lateral Movement)

پس از دسترسی اولیه، مجرمان ابزارهای امنیتی را غیرفعال کرده و به سایر بخش‌های شبکه نفوذ می‌کنند تا به فایل‌ها و حساب‌های دامنه دست یابند.

استخراج اطلاعات (Exfiltration)

پس از یافتن فایل‌های باارزش، آن‌ها را به سرور خارجی منتقل می‌کنند تا از آن‌ها برای باج‌گیری استفاده کنند.

رمزگذاری (Encryption)

باج‌افزار Conti با استفاده از رمزگذاری چندرشته‌ای (multi-threaded) فایل‌ها را با سرعت زیادی رمزگذاری می‌کند. در بسیاری موارد، نسخه‌های پشتیبان فایل‌ها نیز حذف می‌شوند تا قربانی مجبور به پرداخت باج شود.

باج‌گیری مضاعف (Double Extortion)

Conti یک سایت افشاگر دارد که در صورت عدم پرداخت باج، اطلاعات سرقتی را منتشر می‌کند. به این ترتیب، هم برای بازگرداندن فایل‌ها و هم برای جلوگیری از افشای اطلاعات، باج‌گیری می‌کند.

نکته مهم: گروه Conti به عدم وفای به وعده‌های خود معروف است. حتی پس از پرداخت باج، گاهی کلید رمزگشایی را ارائه نمی‌دهند و اطلاعات را افشا می‌کنند.

حملات معروف باج‌افزار Conti

برخی از حملات شاخص این گروه شامل:

• شرکت JVCKenwood: حمله در سپتامبر ۲۰۲۱

• سازمان خدمات درمانی ایرلند (HSE): در مه ۲۰۲۱ فعالیت این سازمان را مختل کرد

• دولت کاستاریکا: حمله در آوریل ۲۰۲۲ باعث اعلام وضعیت اضطراری ملی شد

• شهر تولسا (آمریکا): در مه ۲۰۲۱ باعث تعطیلی کامل شبکه و خدمات آنلاین شد

پایان کار و تغییر نام گروه Conti

در فوریه ۲۰۲۲، همزمان با حمله روسیه به اوکراین، گروه Conti بیانیه‌ای در حمایت از جنگ منتشر کرد. این اقدام باعث شد بسیاری از قربانیان از پرداخت باج خودداری کنند و منبع درآمد گروه تقریباً از بین برود. در همین دوره، یکی از اعضای ناراضی که طرفدار اوکراین بود، هزاران صفحه از چت‌های داخلی گروه و کد منبع آن را افشا کرد.

در سپتامبر ۲۰۲۳، وزارت دادگستری آمریکا چندین تبعه خارجی را به‌دلیل همکاری در عملیات باج‌افزار Conti متهم کرد.

با اینکه سایت و فعالیت رسمی Conti در سال ۲۰۲۲ متوقف شد، کارشناسان معتقدند فقط برند آن از بین رفته و اعضای گروه با نام‌ها و روش‌های جدید به فعالیت خود ادامه خواهند داد.

چگونه از حمله باج‌افزار Conti جلوگیری کنیم؟

برای محافظت در برابر تهدیدهای باج‌افزاری مانند Conti، سازمان‌ها باید توصیه‌های FBI و آژانس امنیت سایبری CISA را رعایت کنند:

• پایش مداوم: بررسی مستمر ترافیک شبکه برای کشف رفتارهای مشکوک

• فیلتر ایمیل و ضد فیشینگ: مسدودسازی ایمیل‌های فیشینگ و بررسی ضمیمه‌ها

• مدل امنیتی Zero Trust: محدود کردن دسترسی‌ها برای کاهش ریسک نفوذ

• احراز هویت چندمرحله‌ای (MFA): محافظت بیشتر برای دسترسی‌های راه دور و داخلی

• به‌روزرسانی منظم نرم‌افزار: رفع آسیب‌پذیری‌های احتمالی در سیستم

• آموزش امنیتی: آگاه‌سازی کارکنان نسبت به فیشینگ و باج‌افزار

• پشتیبان‌گیری مداوم: ایجاد نسخه‌های پشتیبان جدا از شبکه برای بازیابی سریع

همچنین استفاده از فناوری‌های ضدباج‌افزار و ابزارهای حذف بدافزار می‌تواند بخشی از راهکار دفاع چندلایه سازمان‌ها در برابر این تهدیدها باشد.

جمع‌بندی

باج‌افزار Conti یکی از خطرناک‌ترین نمونه‌های «باج‌افزار به‌عنوان سرویس» بود که از سال ۲۰۲۰ تا ۲۰۲۲ فعالیت گسترده‌ای داشت و با حمله به نهادهای دولتی، مراکز درمانی و زیرساخت‌های حیاتی، خسارات سنگینی وارد کرد. این بدافزار با روش‌هایی مانند ایمیل‌های فیشینگ، بهره‌برداری از آسیب‌پذیری‌ها، و استفاده از بدافزارهای کمکی وارد شبکه قربانیان می‌شد و با استفاده از تکنیک‌های رمزگذاری سریع و باج‌گیری مضاعف، قربانیان را برای پرداخت باج تحت فشار قرار می‌داد. گرچه برند Conti پس از افشاگری‌های داخلی و تحولات سیاسی از بین رفت، اما اعضای این گروه همچنان با اسامی و روش‌های جدید فعالیت می‌کنند. رعایت اصول امنیتی مانند پایش مداوم شبکه، فیلتر ایمیل‌ها، به‌روزرسانی نرم‌افزارها، استفاده از احراز هویت چندمرحله‌ای و ایجاد نسخه‌های پشتیبان منظم، بهترین راهکار برای محافظت در برابر تهدیدهای مشابه است.