Hackerne underviser hinanden - hvad gør du?

I  december 2019 så et stykke malware med navnet Conti dagens lys. Det udviklede sig hurtigt til et af de mest avancerede og frygtede ransomware-kollektiver.  

Stifterne viste sig senere at være det russisk-baserede hacker-netværk “Wizard Spider”, som også stod bag Contis forløber, en ransomware kaldet Ryuk. 

Conti tilbød - som andre før og siden - en "Ransomware-as-a-Service" (RaaS)-model, så de udover selv at foretage angreb også udbød deres viden, værktøjer og hackede adgange til andre kriminelle grupper herunder andre hackere. 

Gruppen var teknisk dygtige og deres angreb var målrettede og efterlod sig alt fra lukkede hospitaler til økonomisk og driftsmæssigt kaos. 

Det hele fik dog en brat ende, da Conti-gruppen i februar 2022 med et kort men utvetydigt budskab annoncerede sin støtte til den russiske invasion af Ukraine.  

Kort efter blev cirka 60.000 beskeder fra interne chat-logfiler lækket af en anonym person, der angav sin støtte til Ukraine, sammen med kildekode og andre filer brugt af gruppen. 

Contis Playbook: Indblik i hackernes teknikker og mindset

Den omfattende samling af interne dokumenter, som blev lækket fra Conti ransomware-gruppen omtaltes som The Conti Playbook. Den indeholder detaljerede trin-for-trin-instruktioner og procedurer, som gruppen og dens medlemmer fulgte for at udføre ransomware-angreb.  

Disse dokumenter gav et indblik i de taktikker, teknikker og procedurer, som gruppen brugte og gav efterforskere og cybersikkerhedsprofessionelle indsigt i, hvordan organiserede kriminelle operationer fungerer på et teknisk og organisatorisk niveau. 

Der er for eksempel detaljerede instruktioner til at bruge almindelige hacking-værktøjer, herunder PowerShell-scripts, Cobalt Strike, og værktøjer til at slette backups, deaktivere antivirus-software og bruge Windows-funktioner til at undgå detektering.  

Mange af disse trin kunne udføres af hackere med minimal teknisk erfaring, hvilket gjorde det muligt for en bredere skare af cyberkriminelle at gennemføre komplekse angreb. 

Playbooken (eller håndbogen om man vil) viste også, hvordan Conti organiserede sine operationer som en virksomhed, med specifikke roller for hvert medlem af teamet – fra dem, der udviklede malwaren, til dem, der forhandlede løsepenge med ofrene. Det var især disse detaljer, som gjorde Conti til en af de mest effektive og frygtede ransomware-grupper, indtil deres opløsning i 2022. 

Hvad kan du lære af hackerne?

Conti blev opløst, men cyberkriminaliteten er kun blevet professionaliseret og tilgængelig for flere gennem nye aktører i RaaS-markedet. 

Blandt de nuværende aktører finder vi eksempler som LockBit, der dog lover at være "etiske" og undgå at ramme institutioner som hospitaler og skoler, BlackCat/ALPHV, der især angriber sektorer som energi, finans og sundhed, og Desorden, som har specialiseret sig i angreb på store virksomheder og leverandørkæder.   

For dig, der gerne vil undgå at blive hackernes næste offer, er det en god ide at sætte dig ind i, hvordan hackerne opererer, så du bedre kan beskytte din organisation mod deres angreb. 

Meget af det er helt basalt: sørg for løbende at opdatere systemer, uddan personale i at spotte phishing-angreb, som stadig ofte er en adgangsdør for hackerne, og etabler robuste backup-løsninger. Sidstnævnte skal selvfølgelig testes løbende for at give reel sikkerhed.