無間道！勒索軟件團伙Conti攻擊手冊泄露

Conti是近年來最為活躍和危險的勒索軟件團伙之一。該組織采用勒索軟件即服務 (RaaS) 的運營模式，其中核心團隊管理惡意軟件和Tor站點，而招募的聯盟機構則執行網絡漏洞和數據加密攻擊。核心團隊賺取贖金的20~30%，而附屬公司賺取其余部分。

上圖是該團伙的培訓材料，勒索軟件的攻擊手冊也在其中 

近日，安全研究人員pancak3分享了一個反水的Conti加盟機構成員發布的論壇帖子，該成員公開泄露了有關勒索軟件操作的信息。該信息包括Cobalt Strike C2服務器的IP地址（下圖，pancak3強烈建議立刻封鎖圖片中的IP地址）和一個113MB的檔案，其中包含大量用于進行勒索軟件攻擊的工具和培訓材料。

該成員還表示，他發布這些材料的原因是在一次攻擊后的分贓中只獲得了1,500美元，而團隊的其他成員卻將賺取數百萬美元。一位威脅情報專家指出，此次泄露的攻擊手冊與Conti的活躍案例相符，基本可以確認是真實泄露。

此次泄密暴露出勒索軟件團伙的組織成熟度，以及他們在針對全球公司發動攻擊時使用的流程和經驗。同時也暴露了勒索軟件即服務操作的脆弱性，因為任何一個不滿意的加盟成員都可能會導致攻擊中使用的精心制作的培訓信息和資源暴露。

作為勒索軟件的頂級玩家，Conti勒索軟件“滲透測試”團隊的操作手冊同時也是滲透測試操作的“圣杯”。因此這次泄露將產生積極的影響，防御端的滲透測試人員可以通過這些資料來逐步提高滲透測試技能以應對勒索軟件。