Saya lagi baca laporan dfir tentang conti ransomware. Conti ini salah satu ransomware yang memiliki varian terbanyak menurut Coveware. Masih menurut Coveware, conti bahkan sempat menguasai pasar ransomware dengan Sodinokibi. Penyerang menggunakan RDP, PsExec, dan Cobalt Strike untuk pergerakan lateral, sebelum menjalankan Conti di memory pada sistem.
Vektor awal yang ditemukan adalah file zip, yang memiliki file Javascript yang disebarkan melalui phishing. File javascript ini mengunduh malware IcedID malware. Penyerang kemudian melakukan pengumpulan informasi di windows dengan service yang tersedia di windows seperti nltest.exe, whoami.exe,dan net.exe. Kemudian meningkatkan privilege SYSTEM dengan fungsi Cobalt Strike’s built-in “named pipe impersonation” (GetSystem).
Hasil analisa lengkapnya bisa dilihat pada tautan berikut:
https://thedfirreport.com/2021/05/12/conti-ransomware/
Semoga Bermanfaat!
.