Struktur Organisasi Kelompok Conti
Sama seperti perusahaan pada umumnya, struktur Conti terdiri dari manajemen atas dan menengah hingga level karyawan. Sederhananya struktur organisasi terdiri dari enam bagian, yaitu operasional, SDM, keuangan, TI, litbang (penelitian & pengembangan), dan pemasaran.
Bagian litbang merupakan bagian penting untuk memastikan kelangsungan bisnis grup Conti. Dinamika di dunia siber memaksa Conti harus tetap adaptif terhadap perkembangan teknologi dan software sekuriti di pasar. Conti juga berinvestasi dan menguji beberapa Antivirus (Windows Defender, ESET Nod32, Avast Home, Kaspersky Antivirus, Bitdefender) untuk memastikan tidak terdeteksinya malware mereka oleh antivirus tersebut. Dengan mempelajari berbagai tool sekuriti dan versi yang berbeda, Conti dapat menyesuaikan dan memodifikasi malware mereka agar dapat sukses menyerang dan menembus sasaran jaringan.
Tidak kalah pentingnya adalah bagian TI. Berdasarkan data yang bocor, ada beberapa teknologi (software, tools, dll) yang digunakan Conti untuk mendukung operasional, penelitian, dan pengembangannya. Contohnya alat EDR (endpoint detection and response) yang terpasang pada semua PC admin untuk memantau aktivitas pengguna dalam organisasi dan firewall di jaringan.
Siklus Penyerangan Tiga Langkah
Metode serangan Conti bukan tergolong baru. Keberhasilan Conti terletak pada penggunaan tool yang efektif dan kegigihannya (persistence). Sebagian besar proses penyerangan dilakukan secara “hands on keyboard” alias mengandalkan perintah manual langsung (bukan automated scripts). Meskipun dokumen tidak menguraikan bagaimana Conti melakukan pembobolan awal ke jaringan, diperkirakan Conti mengembangkan berbagai crawler dan scanner di internet untuk mencari server yang dapat dibobol (memiliki celah keamanan), termasuk menembus proteksi password dengan metode brute force.
Crawler akan memberikan akses awal ke jaringan korban, atau menandainya untuk selanjutnya dibobol oleh operator dan afiliasi mereka. Crawler tersebut akan menyasar berbagai layanan, seperti server Apache Tomcat, Outlook Web Access (OWA), Remote Desktop Protocol (RDP), SQL, printer, dan mail.
Untuk mencapai sasaran inflitrasi dan penyebaran ke dalam jaringan, Conti menggunakan serangkaian tool. Selain tool buatan sendiri (crypter, trojan, dan injector), Conti juga menggunakan tools yang umum dikenal oleh tim sekuriti di perusahaan (tim merah dan biru), misalnya Cobalt Strike (tool utama), Mimikatz, PSExec, WinRM, EternalBlue,dan BluKeep.
Dokumen Conti yang bocor juga menggambarkan metodologi Conti dalam menyerang. Inti dari metodologi ini adalah mengumpulkan kredensial, melakukan penyebaran via jaringan, dan mengulang kembali langkah awal. Atau, ringkasnya: harvest credentials, propagate, repeat. Panduan lengkap bagaimana grup Conti melakukan pembobolan, penyebaran, dan menerapkan tebusan ransomware dapat disimak di sini.
Pencegahan dan Mitigasi
Terlepas dari kebocoran yang terjadi, Conti dan grup ransomware lain akan terus melanjutkan serangan ke infrastruktur TI perusahaan beserta layanan digitalnya. Namun, serangan siber yang merugikan dapat dicegah dengan langkah preventif yang relevan dengan perkembangan yang ada (up-to-date).
Serangan Conti umumnya diawali dengan menyasar kerentanan atau celah keamanan jaringan perusahaan yang belum diperbaiki (unpatched). Setiap perusahaan wajib memastikan tidak ada lagi kerentanan tersebut dan sesegera mungkin melakukan patch jika ditemukan kerentanan baru atau zero day. Selanjutnya, perusahaan harus menerapkan aturan password yang ketat dan perlindungan multi-factor authentication (MFA) untuk semua pengguna.