Conti勒索軟體的背後駭客已為愛爾蘭衛生健康署(Health Service Executive, HSE)發布了免費的解密程式,但警告他們仍將出售或公開盜來的數據。上週五(5/15),愛爾蘭的HSE(即該國的公共資助醫療系統)和衛生部(Department of Health)遭到了Conti勒索軟體攻擊,後者所幸及時發現未被得逞, HSE被迫關閉其IT系統並切斷網路預防災害擴大,但該國的衛生服務被仍嚴重影響。
據相信攻擊背後的網路犯罪組織為巫師蜘蛛(Wizard Spider),其總部位於俄羅斯聖彼得堡地區,該組織主要使用Trickbot,Ryuk和Conti三種惡意軟體。
今天Conti的背後駭客在其與HSE的談判頁面上發布了指向免費解密工具的連結,該連結可用於免費復原被加密的檔案。資安研究組織Malware Hunter Team也證實解密工具能還原HSE的檔案,但駭客警告說,如果不支付19,999,000美元的贖金,他們仍將在出售或公開盜取的私人數據。
愛爾蘭的BH Consulting的CEO,Europol的前網路安全顧問Brian Honan表示,即使解密工具有效,上週攻擊達到前所未有的規模,HSE需重建其IT基礎架構。他說:“這是為了確保系統乾淨無感染,並且罪犯沒有在這些系統上植入任何其他惡意軟體。”
今早,HSE獲得了都柏林高等法院(Dublin’s High Court)的禁令,該禁令要求擁有從HSE竊取數據的任何人將其移交,並且不得透露,交易或處理該數據。HSE表示,此舉旨在將在Google和Twitter等網站共享HSE被盜的數據視為非法, HSE同時已將該禁令上傳Conti勒索軟體的暗網頁面上。
法院的禁令還包含求威脅行為者歸還數據,並通過透露其姓名,電子郵件地址和實際地址來識別身份。
相信Conti的背後駭客不會屈服於禁令,但預計駭客所在的國家將幫助跟踪和防止威脅行為者洩漏數據。
愛爾蘭國家網路安全中心發布警報,有關Conti勒索軟體對衛生部門攻擊的情資:
https://otx.alienvault.com/pulse/60a2d0486c6e368ed30220da
其他有關Conti勒索軟體的情資: