在5月14日卫生服务行政主任(HSE)该组织被迫关闭了超过8万个受影响的终端机,使它们回到了纸和笔的时代。这是一周后发生的事黑暗面,另一个勒索品系,击中美国的殖民管道系统。
在Conti勒索软件攻击中受害的290多个医疗和急救组织(全世界400多个受影响组织中的一个)位于美国。新西兰也报告说,至少有5家医院为了应对类似的攻击而关闭了其IT网络。
在这篇博客中,我们将专注于康蒂,这一菌株鉴定被一些人视为继承人、表亲或亲戚勒索软件,这是由于代码使用和发布策略的相似性。
威胁简介:Conti勒索软件
Conti勒索软件是由一个被网络安全行业称为“巫师蜘蛛”(Wizard Spider)的组织创建和传播的,这个俄罗斯网络犯罪组织制造了臭名昭著的Ryuk勒索软件。它是提供给可信的子公司作为勒索软件即服务(RaaS).
Coveware是一家为受勒索软件攻击影响的组织提供事件响应服务的公司第二常见的勒索软件家族受害者组织在2021年第一季度报告了这些情况。(第一个是索迪诺基比,赎金Malwareb必威平台APPytes已经做到了异形自2019年以来一直在检测。)
Conti勒索软件最终可能出现在公司网络上的几种方式。与其他“大游戏”勒索软件一样,交付方法根据操作组的偏好而变化,但这是最常见的攻击向量是远程桌面协议(RDP),网络钓鱼,以及软件或硬件的弱点。
在网络钓鱼活动中,Wizard Spider及其附属公司已经知道在电子邮件正文中使用合法的谷歌文档url。鼓励收件人单击此链接,该链接实际上包含允许下载和执行这两种操作的代码集市,后门,或IcedID(又名BokBot),特洛伊木马。
就像其他RaaS工具一样,整个Conti勒索软件攻击的一部分是人工操作的,这意味着这些攻击背后的行动者使用RDP等工具在受损的网络内横向移动,PsExec,钴罢工.在尽可能多的文件被窃取后,勒索软件在所有活动端点的内存中手动执行。然后,这些文件会被勒索赎金,而由于加密和泄露泄露的数据,受害者会面临数据丢失的威胁。文件通过AES-256和RSA-4096的组合加密微软CryptoAPI,根据CrowdStrike.早期的版本附加了.CONTI加密文件的扩展。新的版本现在附加一个随机的5个字符的字符串。
下面是康蒂勒索软件在完全加密受影响的终端后留下的四种可能的勒索信息中的两种截图。已知的赎金文件名称是CONTI.txt,R3ADM3.txt,固定,CONTI_README.txt.
你的所有文件目前都被CONTI勒索软件加密了。
如果你尝试使用任何额外的恢复软件-文件可能被损坏或丢失。为了确保我们真的可以发现数据-我们提供给你解密样本。
您可以通过我们的网站与我们联系以获得进一步的指导:
TOR版本:
(您应该先下载并安装TOR browserhttps://torproject.org)(修订)
HTTPS版本:
(修订)你应该注意!
以防万一,如果你想无视我们。我们已经下载了你的数据,如果你没有回应,我们准备在我们的新闻网站上发布。所以如果你尽快联系我们,对双方都有好处。
您的系统已锁定。在电子邮件中给我们写信:
(修订)
(修订)
不要尝试使用其他软件解密文件。
Conti被认为与Ryuk勒索软件有关。在与BleepingComputer的对话中,威胁猎人兼高级情报公司(AdvIntel)首席执行官Vitali Kremez说,基于多个事件响应事项和当前评估,相信Conti ransomware基于代码重用和独特的TooBoT分布被链接到相同的Ruk RANSOWER开发组,相同的分布攻击向量被RUK部署组广泛使用。
Conti的独特之处在于其“闪电般”的文件加密能力,以及对其运营商的控制程度,根据炭黑的威胁分析单位(TAU).当进行加密时,Conti使用32个同步CPU线程来加快加密速度巨大的与其他支持多线程操作的勒索软件家族相比的线程数。
Conti为其控制器提供了一个细粒度的选项,即跳过本地驱动器上的加密文件,而通过允许人通过命令行接口。
最后,Conti错误地使用Windows重新启动管理器释放应用程序正在使用的文件,无论这些应用程序在感染时正在写入或读取文件,方法是安全地终止这些应用程序,以便Conti也可以加密释放的文件。
必威平台APP伪的signature-less保护检测所有已知的变种孔蒂.
对手侧写:巫师蜘蛛
巫师蜘蛛是一个网络犯罪组织,隶属于一个有时被称为Ransomware卡特尔这是一个由威胁情报公司Analyst1识别的地下组织。众所周知,该组织经营着自己创造的一系列技术工具,并愿意让其他犯罪团伙使用——只要这些工具足够可信。当它在2016年9月首次出现时,他们正在使用TrickBot,又名TrickLoader,一个非常流行的银行木马。
他们在2018年改变了策略,开始使用勒索软件的形式沥。他们可能是早期参与“大型游戏”攻击的团体之一,Ryuk正是为此而设计的。两年后,该团体于2020年5月转向使用Conti。
据信,巫师蜘蛛的一些成员曾经与Dyre/Dyreza集团联系在一起。如果你还记得的话,戴尔背后的组织负责攻击Sherwin-Williams,一家总部位于俄亥俄州的建筑材料和涂料公司。
与其他地下网络犯罪团伙不同,“巫师蜘蛛”不会在地下论坛上公开做广告,可能是出于安全考虑。
蜘蛛向导创建的复杂工具告诉我们一些威胁组织的特征:它们具有弹性、持久性、适应性、坚定性和整体效率。
为艰苦的战斗做好准备
针对HSE的Conti攻击已经扰乱了爱尔兰的医疗体系。攻击发生15天后,爱尔兰独立报报告每天约有一半的门诊预约被取消。截至撰写本文时,总计有超过10万的预约被取消。HSE负责人Paul Reid估计,恢复和更新系统的成本可能达到1亿欧元。
毕竟,勒索软件攻击不仅仅是因为系统瘫痪和文件被收费劫持,还包括betway必威logo以满足对金钱的极度贪得无厌的需求。
事实上,艰难的战斗就在前方。尽管我们认为HSE可能太过分了,即使对于像魔法师蜘蛛这样的残忍的威胁组织来说,这不是.我们应该继续做最坏的打算,并记住,预防总比在攻击者到来后再尝试治疗要好。
以下是联邦调查局(FBI)发布的建议缓解措施清单康迪勒索软件的警报上周末:
- 定期备份数据、气隙和密码保护脱机备份副本。确保关键数据的副本不可从数据所在的系统中进行修改或删除。
- 实现网络分段。
- 实施恢复计划,在物理上独立、分段、安全的位置(例如,硬盘驱动器、存储设备、云)维护和保留敏感或专有数据和服务器的多个副本。
- 一旦操作系统、软件和固件发布,就立即安装更新/补丁。
- 尽可能使用多因素身份验证。
- 使用强密码并定期更改网络系统和帐户的密码,以最短的可接受时间更改密码。避免重复使用多个帐户的密码。
- 关闭不使用的远程访问/RDP端口,监控远程访问/RDP日志。
- 需要管理员凭据才能安装软件。
- 审核具有管理权限的用户帐户,并配置具有最低权限的访问控制。
- 在所有主机上安装并定期更新防病毒/反恶意软件。
- 只使用安全网络,避免使用公共Wi-Fi网络。考虑安装和使用VPN。
- 考虑向来自组织外部的消息添加电子邮件标题。
- 在收到的电子邮件中禁用超链接。
- 注重网络安全意识和培训。定期向用户提供信息安全原则和技术培训,以及整体出现的网络安全风险和漏洞(如勒索软件和网络钓鱼诈骗)。
评论