標籤: Conti勒索軟體

操作Conti 勒索軟體背後駭客聲稱入侵了秘魯國家中央情報局( Dirección General de Inteligencia -DIGMIN) 並將其列為受害者，有關資訊也同時發布在Conti的揭秘網站Conti Leaks上，國家情報局DIGMIN是秘魯首屈一指的情報機構。該機構負責國家、軍事和警察情報以及反情報工作，Conti目前已公開了聲稱從情報局竊取得來9.41 GB 數據，作為入侵證據。

根據觀察，操作Conti 勒索軟體的背後駭客在其揭秘網站聲稱秘魯拒絕與他們溝通，並表示已在秘魯政府幾乎所有的國家機構網路中安裝了後門，警告稱如果秘魯當局再不透過情報局跟他們聯繫，將會像哥斯達黎加一樣有嚴重的後果，然而秘魯政府沒有就此發表任何聲明。值得一提的是，在Conti攻擊秘魯的事件中，國家情報局特別指出，它們網路上的數據沒有被加密。駭客組織對情報機構的攻擊可能導致包括財務機密、機密數據和文件和安全策略的外洩露，並對國家安全構成風險。

Conti於4月下旬入侵了哥斯達黎加多個政府系統，癱瘓海關及稅務系統，獲得對大約800台伺服器的存取權，其中近 1TB 的數據已被洩露，目前有資安專家已針對一小部分外洩數據進行初步分析，結果顯示原始碼和SQL數據庫確實來自哥國政府網站。另外Conti的攻擊影響了其他政府部門，包括財政部、科創部、勞動部與社會保障部、社會發展與家庭津貼基金、國家氣象研究所、哥斯達黎加社會保障基金、阿拉胡埃拉市各大學主校等，使哥國總統宣布國家緊急狀態。

上週，美國國務院懸賞高達 1500 萬美元的獎金，以重金徵求識別和定位 Conti 勒索軟體組織的領導和同謀的資訊。該獎勵是由國務院的跨國有組織犯罪獎勵計劃 (Transnational Organized Crime Rewards Program，TOCRP) 提供的。美國當局將提供1000萬美元給提供資訊協助逮捕Conti首腦的線民，同時額外提供 500萬美元給提供資訊協助逮捕Conti其他成員的資訊。

 “轉貼、分享或引用文章內容，請註明出處為竣盟科技 https://www.billows.com.tw , 以免觸法”

據哥斯達黎加總統Carlos Alvarado Quesada稱，哥斯達黎加政府營運的多個系統上周遭到勒索軟體攻擊。綜合資安外媒的報導，財政部是上周一(4/18)第一個報告遭入侵且受攻擊最嚴重的部門，從稅款徵收到通過海關機構的進出口過程，其許多系統都受到了影響，最初的攻擊迫使財政部關閉負責支付該國公職人員薪水和養老金的系統，同時也使哥國不得不批准延期納稅，並證實駭客檢索了納稅人的個資，哥國暫停運營幾個線上海關和稅務平台作為因應措施，據路透社報導，該國出口商工會表示，僅上週三(4/20)就損失了 2 億美元。根據操作Conti的駭客在Conti Leaks上表示，已經獲得了對大約800台伺服器的存取權，其中近 1TB 的數據已被洩露，其中包括 900GB 的稅務管理portal網站——或ATV – MSSQL mdf 格式的數據庫和 100GB 的內部檔案，其中包含財政部人員的全名和電子郵件地址。

另外，科創部負責人Paola Vega Castillo上週三在新聞發佈會上證實，操作Conti的駭客對哥國科創部、勞動部、國家氣象研究所和社會保障機構的人力資源系統等進行了攻擊。Castillo 表示，雖然他的部門網頁的內容已被修改，但沒有發現任何證據表明該部門的任何數據已被提取，在駭客攻擊國家氣象研究所和社會保障機構中檢測到了提取電子郵件檔案的過程。

哥國企業擔心勒索軟體可能已經滲透了他們提供給政府的機密資料，這些數據的洩露可能會給這些組織帶來嚴重風險。

哥國於 4 月 4 日選出了一位新總統——前世界銀行官員Rodrigo Chaves，即將卸任的總統Carlos Alvarado Quesada表示，他認為攻擊是用於威脅該國過渡新政府的穩定， Quesada簽署了一項指令，要求所有政府機構都必須向該國的電腦安全事件回應中心報告安全事件。該指令還命令所有機構修補系統、更改密碼、禁用不必要的端口和監控網路基礎設施。總統府部長 Geannina Dinarte Romero 表示 ，以色列、西班牙、美國和微軟等已提出幫助哥斯達黎加重新控制其電腦系統。

此次攻擊恰逢包括英國和美國在內的五眼聯盟發出安全聯合諮詢，警告稱俄羅斯網路犯罪活動升級，對組織構成成更大的風險，建議增強關鍵基礎設施的防護.

事源於6天前（1月22日)台達電發布重大訊息，證實遭駭客網路攻擊，台達電指出在21 日早上 6 點左右，公司偵測到伺服器遭受海外駭客攻擊，自偵測部份資訊系統遭受駭客網路攻擊，也立即啟動資安應變及防禦機制，同時協調外部資安專業公司共同處置，進行復原作業，並稱受影響之資訊系統陸續回復運作中，評估對營運無重大影響。就於攻擊手法、入侵指標、實際受損程度或是否被勒索攻擊等，無法完全從重訊得知。

然而，據觀察台達電官網在駭攻之後原本無法開啟，現顯示為維護中的狀態，同時發現已使用備用網域，重新上線。

同時台達電旗下的被動元件子公司乾坤科技的官網(https://www.cyntec.com) 也無法連上。

今綜合國內和國外報導，台達電遭駭客攻擊事件的幕後黑手為Conti勒索軟體，Conti聲稱已經加密了台達電網路中共65,000台設備中的 1,500 台伺服器和 12,000 台電腦。Conti要求台達電支付 1500 萬美元(約新台幣4.12億元)的贖金來換取解密工具，還承諾如果台達電願意迅速付款，將給予折扣並不會公開從台達電網路竊取到的檔案，目前無法得知被竊檔案數量。在撰寫本文時，Conti勒索軟體在暗網的揭秘網站(Conti News)上，並沒有屬於台達電(Delta Electronics)為受害者的頁面，這可意味著雙方仍在就攻擊事件和贖金進行談判。

Conti在台達電的攻擊中有其特定的模式，據了解是以利用滲透工具Cobalt Strike搭配Atera來實現持久性，在此次事件中，已流出部署在台達電屬於Conti勒索軟體樣本的Hash值:

5ace33358a8b11ae52050d02d2d6705f04bd47a27c6c6e28ef65028bbfaf5da9

Conti勒索軟體於2020 年首次出現，在過去也曾攻擊過台灣上市企業研華科技，並入侵了多過國外大型企業及機構，如印尼央行、愛爾蘭衛生健康署、遊戲公司卡普空Capcom、VOIP 硬體和軟體製造商Sangoma Technologies以及佛羅里達州和德州的醫院等。

 “轉貼、分享或引用文章內容，請註明出處為竣盟科技 https://www.billows.com.tw , 以免觸法”

根據資安業者Cybereason最新的報告指出，TrickBot殭屍網路背後的駭客組織Wizard Spider目前正與 Shatak (TA551) 駭客組織合作，散布TrickBot 和 Bazar Backdoor 惡意軟體，以用於在受感染系統上部署 Conti 勒索軟體。研究人員發現，Shatak 和 TrickBot 於 2021 年 7 月開始合作，並取得了不錯的成果，

因此攻擊活動一直持續到今。

Cybereason警告說Shathak 駭客組織正在大肆散佈惡意惡意垃圾郵件，這些郵件以受密碼保護的存檔檔案的形式附加到網路釣魚電子郵件中，檔案包含帶有macros的惡意檔案，這些macros可以下載和執行 TrickBot 或 BazarBackdoor，使駭客能進行包括偵察、橫向移動、竊取憑證和數據外洩。

據了解，製作TrickBot殭屍網路的駭客組織Wizard Spider(或被稱為ITG23)，除通過勒索軟體即服務 ( Ransomware as a Service;RaaS ) 運作模式將惡意軟體的存取權出租給會員之外，還負責開發和維護Conti勒索軟體。

Cybereason 的研究人員說，他們觀察到駭客獲得初始入侵到企業網路，再到駭客實際部署勒索軟體的平均時間為兩天，可見這聯手合作發揮了相當大程度的功效。美國網路安全和基礎設施安全局 (CISA) 和聯邦調查局 (FBI) 警報稱，截至 2021 年 9 月，Conti 勒索軟體針對美國和其他國際企業的攻擊已發生超過 400 起。

為了保護系統免受 Conti 勒索軟體的入侵，CISA和FBI建議實施的緩解措施，包括多重身份驗證 (MFA)、禁用未使用的 RDP 服務、實施網路分段以及使操作系統和軟體保持最新狀態等。

儘管在幾週前Conti勒索軟體遭會員爆料並公開其攻擊和培訓的技術手冊，但 Conti 的攻擊並沒有放緩，在9月22 日，美國網路安全暨基礎安全局(CISA)、聯邦調查局(FBI)和國家安全局(NSA)共同發佈針對Conti勒索軟體的攻擊持續激增的警報，這三個美國聯邦機構稱，已觀察到Conti 勒索軟體對美國和其他國家的組織發動了 400 多次的攻擊，敦促企業 IT管理員審查其組織的網路安全狀況，並立即實施聯合警告中概述的行動，以抵禦 Conti 勒索軟體。

為了保護企業系統免受 Conti 勒索軟體的侵害，CISA、FBI 和NSA建議實​​施公告中描述的緩解措施，其中包括要求多因素身份驗證 (MFA)、實施網路分段以及保持操作系統和軟體是最新的版本。

根據這三個美國聯邦機構，操作Conti 的攻擊者常利用合法的遠端監控和管理軟體以及遠端桌面軟體作為後門來維持受害者網路的持久性。攻擊者使用受害者網路上已有的工具——並根據需要再添加額外的工具，如 Windows Sysinternals 和 Mimikatz——來獲取用戶的hashes和明文憑證，這使攻擊者能夠提升網域內的權限並執行其他後滲透攻擊和橫向移動。在一些被觀察到的案例，攻擊者還使用 TrickBot 惡意軟體來執行後滲透攻擊任務。

Conti 勒索軟體一個勒索軟體即服務 (RaaS)，於 2019 年 12 月底首次出現，並通過 TrickBot 感染進行傳播，據信Conti由一個名為Wizard Spider的俄羅斯網路犯罪組織控制。自 2020 年 8 月以來，Conti在暗網啓動了其揭秘網站Conti News ，以揚言發佈盜取得來的機敏數據來威脅受害者，一般來說，在一個典型的Conti 勒索軟體攻擊中，操作Conti的駭客會竊取檔案、加密伺服器和工作站，並要求支付贖金。

另外，Conti 與臭名昭著的 Ryuk 勒索軟體共享其大部分程式碼，在 Ryuk 的攻擊活動於 2020 年 7 月開始放緩後，與TrickBot相關的駭客改用部署Conti勒索軟體進行攻擊，因此Conti被視為是Ryuk的接班人。

以下為聯合警告中提供的緩解措施：

*使用多重身份驗證。

*實施網路分段和過濾流量。

*掃描漏洞並保持軟體更新。

*刪除不必要的應用程式並控管好應用

*實施使用端點和檢測回應工具。

*限制對網路資源的存取，尤其是限制 RDP。

*保護用戶帳戶

*如果受感染，請使用勒索軟體回應清單(Ransomware Response Checklist)

安全研究人員警告說，Conti 勒索軟體組織的會員(Affiliate) 正在利用Microsoft Exchange Server 中的ProxyShell漏洞來攻擊並破壞企業網路。ProxyShell實際上是由3個漏洞所串連的漏洞（CVE-2021-34473、CVE-2021-34523 和 CVE-2021-31207），分別屬於遠端程式攻擊漏洞、權限擴張漏洞與安全功能繞過漏洞，它們同時影響Microsoft Exchange Server 2013、2016與2019，串連這些漏洞將允許駭客於系統上執行任意程式。

根據資安公司Sophos的觀察，攻擊以極快的速度發生，在一個事件回應案例中，研究人員在對攻擊進行分析後，發現Conti的會員用不到一分鐘就取得對目標網路的使用權限，在安裝了第一個 web shell 幾分鐘後，攻擊者便安裝了第二個 web shell。在不到 30 分鐘的時間內建立了一份完整份網路電腦、網域控制站和網域系統管理員的完整列表。僅僅四小時後，Conti的會員就取得網域系統管理員帳戶的憑證並開始執行命令。Sophos研究人員發現攻擊者在獲得存取權限後的 48 小時內竊取了大約 1 TB 的數據。五天後，他們將 Conti 勒索軟體部署到網路上的每台電腦，尤其針對它們的網路共用區。

在攻擊期間，Conti 的會員還在網路上安裝了不少於 7 個後門：兩個 web shell、Cobalt Strike 和四個AnyDesk、Aterta、Splashtop 和 Remote Utilities 的商用遠端存取工具。Cobalt Strike 和 AnyDesk 則是其餘攻擊的主要工具。這種作法迅速而高效率，因此安裝修補程式絕對是不可或缺的。

ProxyShell 和其他針對已知 Microsoft Exchange 漏洞的攻擊會帶來重大的風險。研究人員敦促使用 Microsoft Exchange Server的企業應盡快更新和修補伺服器的緊急建議。

有關Conti勒索軟體的入侵指標(Indicator of compromise -IOCs):

IPv4:

135.181.10.218

SHA1:

59e2d227bf8499d1d28116f922925980774ebf96

Source: https://news.sophos.com/en-us/2021/09/03/conti-affiliates-use-proxyshell-exchange-exploit-in-ransomware-attacks/?cmp=30728