[[416655]]

Conti是近年來(lái)最為活躍和危險(xiǎn)的勒索軟件團(tuán)伙之一。該組織采用勒索軟件即服務(wù) (RaaS) 的運(yùn)營(yíng)模式，其中核心團(tuán)隊(duì)管理惡意軟件和Tor站點(diǎn)，而招募的聯(lián)盟機(jī)構(gòu)則執(zhí)行網(wǎng)絡(luò)漏洞和數(shù)據(jù)加密攻擊。核心團(tuán)隊(duì)賺取贖金的20~30%，而附屬公司賺取其余部分。

上圖是該團(tuán)伙的培訓(xùn)材料，勒索軟件的攻擊手冊(cè)也在其中

近日，安全研究人員pancak3分享了一個(gè)反水的Conti加盟機(jī)構(gòu)成員發(fā)布的論壇帖子，該成員公開(kāi)泄露了有關(guān)勒索軟件操作的信息。該信息包括Cobalt Strike C2服務(wù)器的IP地址(下圖，pancak3強(qiáng)烈建議立刻封鎖圖片中的IP地址)和一個(gè)113MB的檔案，其中包含大量用于進(jìn)行勒索軟件攻擊的工具和培訓(xùn)材料。

該成員還表示，他發(fā)布這些材料的原因是在一次攻擊后的分贓中只獲得了1,500美元，而團(tuán)隊(duì)的其他成員卻將賺取數(shù)百萬(wàn)美元。一位威脅情報(bào)專家指出，此次泄露的攻擊手冊(cè)與Conti的活躍案例相符，基本可以確認(rèn)是真實(shí)泄露。

此次泄密暴露出勒索軟件團(tuán)伙的組織成熟度，以及他們?cè)卺槍?duì)全球公司發(fā)動(dòng)攻擊時(shí)使用的流程和經(jīng)驗(yàn)。同時(shí)也暴露了勒索軟件即服務(wù)操作的脆弱性，因?yàn)槿魏我粋€(gè)不滿意的加盟成員都可能會(huì)導(dǎo)致攻擊中使用的精心制作的培訓(xùn)信息和資源暴露。

作為勒索軟件的頂級(jí)玩家，Conti勒索軟件“滲透測(cè)試”團(tuán)隊(duì)的操作手冊(cè)同時(shí)也是滲透測(cè)試操作的“圣杯”。因此這次泄露將產(chǎn)生積極的影響，防御端的滲透測(cè)試人員可以通過(guò)這些資料來(lái)逐步提高滲透測(cè)試技能以應(yīng)對(duì)勒索軟件。

【本文是51CTO專欄作者“安全牛”的原創(chuàng)文章，轉(zhuǎn)載請(qǐng)通過(guò)安全牛（微信公眾號(hào)id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文