De FBI, de Amerikaanse geheime dienst NSA en het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security hebben een waarschuwing afgegeven wegens toegenomen aanvallen door de Conti-ransomwaregroep. Volgens de overheidsinstanties heeft deze groep meer dan vierhonderd aanvallen tegen Amerikaanse en internationale organisaties uitgevoerd.

Daarbij worden bestanden gestolen en versleuteld. De FBI en NSA stellen dat Conti een ransomware-as-a-service (RaaS)-model hanteert, maar er wel een verschil is. Via RaaS kunnen criminelen op eenvoudige wijze over ransomware beschikken, waarbij er een deel van de inkomsten naar de ontwikkelaar van de ransomware gaat. Criminelen moeten in dit geval de ransomware nog wel zelf verspreiden.

In het geval van de Conti-groep betalen de ontwikkelaars de criminelen die de ransomware verspreiden geen percentage maar een loon. Om toegang tot netwerken te krijgen maken de criminelen gebruik van spearphishing met Microsoft Office-documenten en malafide links, gestolen of zwakke RDP-wachtwoorden, malafide software die via zoekmachineresultaten wordt verspreid, telefoongesprekken en andere malware die al op het systeem aanwezig is.

De FBI en NSA hebben de werkwijze van de groep in een advisory beschreven en geven ook adviezen om aanvallen te voorkomen. Het gaat dan om het gebruik van multifactorauthenticatie, netwerksegmentatie, het scannen naar kwetsbaarheden en updaten van software, het verwijderen van onnodige applicaties, het implementeren van endpoint en detection response tools, het beperken van RDP (remote desktop protocol) en het beveiligen van gebruikersaccounts.