美國CISA、FBI 和 NSA聯合警告,涉及Conti勒索軟體的攻擊持續升溫

儘管在幾週前Conti勒索軟體遭會員爆料並公開其攻擊和培訓的技術手冊,但 Conti 的攻擊並沒有放緩,在9月22 日,美國網路安全暨基礎安全局(CISA)、聯邦調查局(FBI)和國家安全局(NSA)共同發佈針對Conti勒索軟體的攻擊持續激增的警報,這三個美國聯邦機構稱,已觀察到Conti 勒索軟體對美國和其他國家的組織發動了 400 多次的攻擊,敦促企業 IT管理員審查其組織的網路安全狀況,並立即實施聯合警告中概述的行動,以抵禦 Conti 勒索軟體。

為了保護企業系統免受 Conti 勒索軟體的侵害,CISA、FBI 和NSA建議實​​施公告中描述的緩解措施,其中包括要求多因素身份驗證 (MFA)、實施網路分段以及保持操作系統和軟體是最新的版本。

根據這三個美國聯邦機構,操作Conti 的攻擊者常利用合法的遠端監控和管理軟體以及遠端桌面軟體作為後門來維持受害者網路的持久性。攻擊者使用受害者網路上已有的工具——並根據需要再添加額外的工具,如 Windows Sysinternals 和 Mimikatz——來獲取用戶的hashes和明文憑證,這使攻擊者能夠提升網域內的權限並執行其他後滲透攻擊和橫向移動。在一些被觀察到的案例,攻擊者還使用 TrickBot 惡意軟體來執行後滲透攻擊任務。

Conti 勒索軟體一個勒索軟體即服務 (RaaS),於 2019 年 12 月底首次出現,並通過 TrickBot 感染進行傳播,據信Conti由一個名為Wizard Spider的俄羅斯網路犯罪組織控制。自 2020 年 8 月以來,Conti在暗網啓動了其揭秘網站Conti News ,以揚言發佈盜取得來的機敏數據來威脅受害者,一般來說,在一個典型的Conti 勒索軟體攻擊中,操作Conti的駭客會竊取檔案、加密伺服器和工作站,並要求支付贖金。

另外,Conti 與臭名昭著的 Ryuk 勒索軟體共享其大部分程式碼,在 Ryuk 的攻擊活動於 2020 年 7 月開始放緩後,與TrickBot相關的駭客改用部署Conti勒索軟體進行攻擊,因此Conti被視為是Ryuk的接班人

以下為聯合警告中提供的緩解措施:

*使用多重身份驗證。

*實施網路分段和過濾流量。

*掃描漏洞並保持軟體更新。

*刪除不必要的應用程式並控管好應用

*實施使用端點和檢測回應工具。

*限制對網路資源的存取,尤其是限制 RDP。

*保護用戶帳戶

*如果受感染,請使用勒索軟體回應清單(Ransomware Response Checklist)

Conti勒索軟體的會員借助 ProxyShell漏洞,攻擊 Microsoft Exchange伺服器,在不到一分鐘取得權限!

Conti 在攻擊中使用的工具

安全研究人員警告說,Conti 勒索軟體組織的會員(Affiliate) 正在利用Microsoft Exchange Server 中的ProxyShell漏洞來攻擊並破壞企業網路。ProxyShell實際上是由3個漏洞所串連的漏洞(CVE-2021-34473、CVE-2021-34523 和 CVE-2021-31207),分別屬於遠端程式攻擊漏洞、權限擴張漏洞與安全功能繞過漏洞,它們同時影響Microsoft Exchange Server 2013、2016與2019,串連這些漏洞將允許駭客於系統上執行任意程式。

根據資安公司Sophos的觀察,攻擊以極快的速度發生,在一個事件回應案例中,研究人員在對攻擊進行分析後,發現Conti的會員用不到一分鐘就取得對目標網路的使用權限,在安裝了第一個 web shell 幾分鐘後,攻擊者便安裝了第二個 web shell。在不到 30 分鐘的時間內建立了一份完整份網路電腦、網域控制站和網域系統管理員的完整列表。僅僅四小時後,Conti的會員就取得網域系統管理員帳戶的憑證並開始執行命令。Sophos研究人員發現攻擊者在獲得存取權限後的 48 小時內竊取了大約 1 TB 的數據。五天後,他們將 Conti 勒索軟體部署到網路上的每台電腦,尤其針對它們的網路共用區。

在攻擊期間,Conti 的會員還在網路上安裝了不少於 7 個後門:兩個 web shell、Cobalt Strike 和四個AnyDesk、Aterta、Splashtop 和 Remote Utilities 的商用遠端存取工具。Cobalt Strike 和 AnyDesk 則是其餘攻擊的主要工具。這種作法迅速而高效率,因此安裝修補程式絕對是不可或缺的。

ProxyShell 和其他針對已知 Microsoft Exchange 漏洞的攻擊會帶來重大的風險。研究人員敦促使用 Microsoft Exchange Server的企業應盡快更新和修補伺服器的緊急建議。

有關Conti勒索軟體的入侵指標(Indicator of compromise -IOCs):

IPv4:

135.181.10.218

SHA1:

59e2d227bf8499d1d28116f922925980774ebf96

Source: https://news.sophos.com/en-us/2021/09/03/conti-affiliates-use-proxyshell-exchange-exploit-in-ransomware-attacks/?cmp=30728

駭客分贓鬧不和,Conti勒索軟體遭會員爆料公開其攻擊和培訓的技術手冊

提供勒索軟體即服務(Ransomware-as-a-Service, RaaS)的組織Conti,其會員因分到的贖金太少,心生不滿的在地下駭客論壇XSS上載了Conti勒索軟體培訓會員及用於攻擊的手冊。據了解,該技術手冊內容含如何在被駭公司內部存取、橫向移動和升級存取權限,同時還包含如何在加密檔案之前將數據盜取等。

心懷不滿的Conti RaaS會員在XSS論壇發布的帖子

一般來說,操作Conti勒索軟體的核心團隊在每次分贓可賺取贖金的20-30%,而其餘部分的則由其會員賺取。此次的爆料事件,疑是因為Conti會員只分到了$1500美元,而核心成員卻分到過百萬美元所引起的。這名深深不忿的Conti會員,今天將Conti的資訊包括Cobalt Strike C2伺服器的 IPs和包含大量工具和用於進行勒索軟體攻擊的培訓資料約 110 MB 的存檔,上傳到XSS駭客論壇,引起轟動。

快把Conti的IPs阻擋起來- 162.244.80.235/ 85.93.88.165/185.141.63.120/ 82.118.21.1

另外,根據國外資安媒體報導,外洩的手冊包含有關如何執行以下操作的指南:

*使用 MEGA 帳戶配置 Rclone軟體以進行數據洩露

*將AnyDesk 軟體配置作為受害者網路中的持久性和遠端存取的方法[一種已知的 Conti 策略

*配置和使用 Cobalt Strike

*使用 NetScan 工具掃描內部網路

 *在虛擬專用服務器 (VPS) 上安裝 Metasploit 滲透測試框架

*使用Ngrok 安全隧道通過 RDP 連接到被駭的網路

*在公司的被駭網路中提升並獲得管理員權限

*接管網域控制器

*從 Active Directory 轉儲密碼(NTDS 轉儲)

*執行 SMB 暴力攻擊

*強力路由器、NAS 設備和安全攝像頭

*使用 ZeroLogon 漏洞

*執行Kerberoasting攻擊

*禁用 Windows Defender 保護

*刪除卷影副本

*會員如何配置自己的操作系統以使用 Tor 匿名網路等

有關Conti勒索軟體的情資:

https://otx.alienvault.com/pulse/5f0781369d8978954c40d9f1

https://otx.alienvault.com/pulse/60a2d0486c6e368ed30220da

愛爾蘭高等法院下令VirusTotal提交上傳或下載了愛爾蘭衛生健康署被盜數據的有關人士個資

在英國《金融時報》歸還了數據,但拒絕透露提供樣本的來源下,高等法院要求 VirusTotal交出下載或上傳 HSE 數據的用戶資訊

今年 5 月,愛爾蘭的公共醫療保健系統 Health Service Executive, HSE被Conti 勒索軟體攻擊,該攻擊使HSE在設備被加密後造成 IT 系統大規模中斷,嚴重影響該國的醫療服務,Conti在攻擊過程竊取了HSE 約700GB 的數據,據稱這些數據包括患者和員工個資、合約、財務報表、會議記錄、薪資單等。

據金融時報的報導,有人將27份HSE的檔案包含12名病患的個資上傳到惡意檔案分析網站VirusTotal上,檔案在 5 月 25 日被 Chronicle (VirusTotal的母公司)刪除之前被VirusTotal用戶下載了 23 次。VirusTotal除了掃描惡意檔案之外,還能充當上傳檔案的存儲庫,允許訂閱者搜索和下載檔案以分析他們自己的安全研究或改進他們的安全軟體。

在愛爾蘭法院發布禁令要求任何擁有被盜數據的人將其歸還給 HSE 後,英國《金融時報》歸還了數據,但拒絕透露提供樣本的來源。

週二,愛爾蘭高等法院發布命令,要求 VirusTotal 的所有者 Chronicle Security Ireland 和 Chronicle LLC 交出下載或上傳 HSE 數據的用戶的個資包括電子郵件地址、電話號碼、IP 地址或地址。高等法院法官也同時指出,被告沒有反對下達的命令,即所謂的Norwich Pharmacal Order第三方披露令。

有關Conti勒索軟體的情資:

https://otx.alienvault.com/pulse/60a2d0486c6e368ed30220da

https://otx.alienvault.com/pulse/5f0781369d8978954c40d9f1

Conti勒索軟體為愛爾蘭衛生健康署提供”免費”解密程式,但稱仍會公開盜取的資料,愛爾蘭高等法院發布超級禁令,要求Conti歸還數據

Conti勒索軟體的背後駭客已為愛爾蘭衛生健康署(Health Service Executive, HSE)發布了免費的解密程式,但警告他們仍將出售或公開盜來的數據。上週五(5/15),愛爾蘭的HSE(即該國的公共資助醫療系統)和衛生部(Department of Health)遭到了Conti勒索軟體攻擊,後者所幸及時發現未被得逞, HSE被迫關閉其IT系統並切斷網路預防災害擴大,但該國的衛生服務被仍嚴重影響。

據相信攻擊背後的網路犯罪組織為巫師蜘蛛(Wizard Spider),其總部位於俄羅斯聖彼得堡地區,該組織主要使用Trickbot,Ryuk和Conti三種惡意軟體。

今天Conti的背後駭客在其與HSE的談判頁面上發布了指向免費解密工具的連結,該連結可用於免費復原被加密的檔案。資安研究組織Malware Hunter Team也證實解密工具能還原HSE的檔案,但駭客警告說,如果不支付19,999,000美元的贖金,他們仍將在出售或公開盜取的私人數據。

Conti在其與HSE的談判頁面上發布的免費解密程式

愛爾蘭的BH Consulting的CEO,Europol的前網路安全顧問Brian Honan表示,即使解密工具有效,上週攻擊達到前所未有的規模,HSE需重建其IT基礎架構。他說:“這是為了確保系統乾淨無感染,並且罪犯沒有在這些系統上植入任何其他惡意軟體。”

今早,HSE獲得了都柏林高等法院(Dublin’s High Court)的禁令,該禁令要求擁有從HSE竊取數據的任何人將其移交,並且不得透露,交易或處理該數據。HSE表示,此舉旨在將在Google和Twitter等網站共享HSE被盜的數據視為非法, HSE同時已將該禁令上傳Conti勒索軟體的暗網頁面上。

法院的禁令還包含求威脅行為者歸還數據,並通過透露其姓名,電子郵件地址和實際地址來識別身份。

相信Conti的背後駭客不會屈服於禁令,但預計駭客所在的國家將幫助跟踪和防止威脅行為者洩漏數據。

愛爾蘭國家網路安全中心發布警報,有關Conti勒索軟體對衛生部門攻擊的情資:

https://otx.alienvault.com/pulse/60a2d0486c6e368ed30220da

其他有關Conti勒索軟體的情資:

https://otx.alienvault.com/pulse/5f0781369d8978954c40d9f1

繼愛爾蘭醫療系統被駭後,Conti勒索軟體又作惡,新西蘭五間醫院的IT系統中斷,當地官員稱不會付贖金

Key Points:

*受影響的醫院有五間,分別是Waikato醫院, Thames醫院, Tokoroa醫院, Te Kuiti 醫院和Taumaranui醫院

*門診,預約和即將進行手術的病患均已被延遲,並且無法獲取病患的病歷

*醫院員工透露,現場一片混亂,因為什麼都不能做

*懷卡托衞生委員會(Waikato District Health Board,WDHB)已啟動了危機應變方案危機應變方案,以解決此次一網路攻擊事件

Covid 19疫情爆發,世界各地的醫療機構受到各種威脅,不少駭客藉疫情作惡,5月18日新西蘭多個媒體報導,由於WDHB的IT系統遭到駭客攻擊而中斷,當地的所有公立醫院因而受到嚴重的影響,由於電話及電腦系統癱瘓不能繼續門診服務,同時預約服務和即將進行的非緊急手術病患均受到影響,醫護也不能翻查病患的病歷。醫生工會說,醫院和門診人員將系統中斷描述為完全是一片混亂(mayhem) ,有必要將其他一些患者轉移到其他醫院。

當地的醫生協會國家秘書長Deborah Powell表示,據她了解此事件是由Conti勒索軟體所引起的,是與上週對愛爾蘭衛生健康署(Health Service Executive, HSE)發動攻擊的勒索軟體為同一款。

懷卡托衞生委員會(WDHB)在其Facebook頁面上說:“我們已聘請外部援助來解決影響我們IT服務環境的網路安全事件。我們正處於查明所發生情況的早期階段,目前無法在調查事件時提供進一步的細節。已向有關政府當局提供了有關情況的通知。我們不確定解決這種情況將需要多長時間,但我們正在努力使我們的服務恢復。”

Conti被認為是Ryuk 勒索軟體的繼任者,於2020年6月份被發現, 其特色是以32個CPU執行緒進行加密, 同時加密大量檔案,讓防護系統來不及因應。Conti曾於去年11月攻擊研華,要脅750比特幣,約1300萬美元。

愛爾蘭國家網路安全中心發布警報,有關Conti勒索軟體對衛生部門攻擊的情資:

https://otx.alienvault.com/pulse/60a2d0486c6e368ed30220da

其他有關Conti勒索軟體的情資:

https://otx.alienvault.com/pulse/5f0781369d8978954c40d9f1