[[416655]]

Conti是近年來最為活躍和危險的勒索軟件團(tuán)伙之一。該組織采用勒索軟件即服務(wù) (RaaS) 的運(yùn)營模式，其中核心團(tuán)隊管理惡意軟件和Tor站點，而招募的聯(lián)盟機(jī)構(gòu)則執(zhí)行網(wǎng)絡(luò)漏洞和數(shù)據(jù)加密攻擊。核心團(tuán)隊賺取贖金的20~30%，而附屬公司賺取其余部分。

上圖是該團(tuán)伙的培訓(xùn)材料，勒索軟件的攻擊手冊也在其中

近日，安全研究人員pancak3分享了一個反水的Conti加盟機(jī)構(gòu)成員發(fā)布的論壇帖子，該成員公開泄露了有關(guān)勒索軟件操作的信息。該信息包括Cobalt Strike C2服務(wù)器的IP地址(下圖，pancak3強(qiáng)烈建議立刻封鎖圖片中的IP地址)和一個113MB的檔案，其中包含大量用于進(jìn)行勒索軟件攻擊的工具和培訓(xùn)材料。

該成員還表示，他發(fā)布這些材料的原因是在一次攻擊后的分贓中只獲得了1,500美元，而團(tuán)隊的其他成員卻將賺取數(shù)百萬美元。一位威脅情報專家指出，此次泄露的攻擊手冊與Conti的活躍案例相符，基本可以確認(rèn)是真實泄露。

此次泄密暴露出勒索軟件團(tuán)伙的組織成熟度，以及他們在針對全球公司發(fā)動攻擊時使用的流程和經(jīng)驗。同時也暴露了勒索軟件即服務(wù)操作的脆弱性，因為任何一個不滿意的加盟成員都可能會導(dǎo)致攻擊中使用的精心制作的培訓(xùn)信息和資源暴露。

作為勒索軟件的頂級玩家，Conti勒索軟件“滲透測試”團(tuán)隊的操作手冊同時也是滲透測試操作的“圣杯”。因此這次泄露將產(chǎn)生積極的影響，防御端的滲透測試人員可以通過這些資料來逐步提高滲透測試技能以應(yīng)對勒索軟件。

【本文是51CTO專欄作者“安全牛”的原創(chuàng)文章，轉(zhuǎn)載請通過安全牛（微信公眾號id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文