繼哥斯大黎加因Conti的攻擊全國進入緊急狀態後,另一拉丁美洲政府”秘魯” 也遭Conti的毒手!

操作Conti 勒索軟體背後駭客聲稱入侵了秘魯國家中央情報局( Dirección General de Inteligencia -DIGMIN) 並將其列為受害者,有關資訊也同時發布在Conti的揭秘網站Conti Leaks上,國家情報局DIGMIN是秘魯首屈一指的情報機構。該機構負責國家、軍事和警察情報以及反情報工作,Conti目前已公開了聲稱從情報局竊取得來9.41 GB 數據,作為入侵證據。

目前仍然無法存取秘魯國家情報局的網站

根據觀察,操作Conti 勒索軟體的背後駭客在其揭秘網站聲稱秘魯拒絕與他們溝通,並表示已在秘魯政府幾乎所有的國家機構網路中安裝了後門,警告稱如果秘魯當局再不透過情報局跟他們聯繫,將會像哥斯達黎加一樣有嚴重的後果,然而秘魯政府沒有就此發表任何聲明。值得一提的是,在Conti攻擊秘魯的事件中,國家情報局特別指出,它們網路上的數據沒有被加密。駭客組織對情報機構的攻擊可能導致包括財務機密、機密數據和文件和安全策略的外洩露,並對國家安全構成風險。

Conti於4月下旬入侵了哥斯達黎加多個政府系統,癱瘓海關及稅務系統,獲得對大約800台伺服器的存取權,其中近 1TB 的數據已被洩露,目前有資安專家已針對一小部分外洩數據進行初步分析,結果顯示原始碼和SQL數據庫確實來自哥國政府網站。另外Conti的攻擊影響了其他政府部門,包括財政部、科創部、勞動部與社會保障部、社會發展與家庭津貼基金、國家氣象研究所、哥斯達黎加社會保障基金、阿拉胡埃拉市各大學主校等,使哥國總統宣布國家緊急狀態。

上週,美國國務院懸賞高達 1500 萬美元的獎金,以重金徵求識別和定位 Conti 勒索軟體組織的領導和同謀的資訊。該獎勵是由國務院的跨國有組織犯罪獎勵計劃 (Transnational Organized Crime Rewards Program,TOCRP) 提供的。美國當局將提供1000萬美元給提供資訊協助逮捕Conti首腦的線民,同時額外提供 500萬美元給提供資訊協助逮捕Conti其他成員的資訊。

Conti勒索軟體入侵哥斯達黎加,多個政府系統遭攻擊,破壞哥國過渡新政府的穩定

哥斯達黎加在Conti Leaks上的頁面
哥斯達黎加在Conti Leaks上的更新頁面
總統Carlos Alvarado Quesada告訴公眾,哥斯達黎加不會支付贖金

據哥斯達黎加總統Carlos Alvarado Quesada稱,哥斯達黎加政府營運的多個系統上周遭到勒索軟體攻擊。綜合資安外媒的報導,財政部是上周一(4/18)第一個報告遭入侵且受攻擊最嚴重的部門,從稅款徵收到通過海關機構的進出口過程,其許多系統都受到了影響,最初的攻擊迫使財政部關閉負責支付該國公職人員薪水和養老金的系統,同時也使哥國不得不批准延期納稅,並證實駭客檢索了納稅人的個資,哥國暫停運營幾個線上海關和稅務平台作為因應措施,據路透社報導,該國出口商工會表示,僅上週三(4/20)就損失了 2 億美元。根據操作Conti的駭客在Conti Leaks上表示,已經獲得了對大約800台伺服器的存取權,其中近 1TB 的數據已被洩露,其中包括 900GB 的稅務管理portal網站——或ATV – MSSQL mdf 格式的數據庫和 100GB 的內部檔案,其中包含財政部人員的全名和電子郵件地址。

另外,科創部負責人Paola Vega Castillo上週三在新聞發佈會上證實,操作Conti的駭客對哥國科創部、勞動部、國家氣象研究所和社會保障機構的人力資源系統等進行了攻擊。Castillo 表示,雖然他的部門網頁的內容已被修改,但沒有發現任何證據表明該部門的任何數據已被提取,在駭客攻擊國家氣象研究所和社會保障機構中檢測到了提取電子郵件檔案的過程。

科創部網站被Conti入侵

哥國企業擔心勒索軟體可能已經滲透了他們提供給政府的機密資料,這些數據的洩露可能會給這些組織帶來嚴重風險。

哥國於 4 月 4 日選出了一位新總統——前世界銀行官員Rodrigo Chaves,即將卸任的總統Carlos Alvarado Quesada表示,他認為攻擊是用於威脅該國過渡新政府的穩定, Quesada簽署了一項指令,要求所有政府機構都必須向該國的電腦安全事件回應中心報告安全事件。該指令還命令所有機構修補系統、更改密碼、禁用不必要的端口和監控網路基礎設施。總統府部長 Geannina Dinarte Romero 表示 ,以色列、西班牙、美國和微軟等已提出幫助哥斯達黎加重新控制其電腦系統。

此次攻擊恰逢包括英國和美國在內的五眼聯盟發出安全聯合諮詢,警告稱俄羅斯網路犯罪活動升級,對組織構成成更大的風險,建議增強關鍵基礎設施的防護.

日本跨國企業Panasonic和Konica Minolta傳二度遭駭,旗下子公司同遭Conti勒索軟體毒手,數據已在暗網公開!

2021年6 月日本松下(Panasonic)曾發現其系統遭不明駭客入侵長達五個月

2020年8月日本柯尼卡美能達(Konica Minolta)曾遭勒索軟體RansomEXX攻擊

松下加拿大和柯尼卡美能達英國的截圖 Photo Credit: Conti Leaks

在清明連假期間的4月4日,日本Konica Minolta代旗下英國子公司Konica Minolta Marketing Services 公告,證實在3月23日發現非法第三方存取其內部系統,由於檢測到入侵行為,該公司已採取措施包括停止對外連線,恢復備份等相關程序,並稱沒有員工個資或客戶資料外洩,據觀察,操作Conti勒索軟體的駭客組織亦於4月3日在其揭秘網站Conti Leaks,發佈了部分從Konica Minolta英國盜來的相關數據,約370KB。

另外,根據Conti Leaks日本Panasonic的加拿大子公司Panasonic Canada,亦是Conti勒索軟體的受害者,Conti聲稱已盜出屬於Panasonic Canada內部銷售和其他敏感數據,目前已釋出約2.7GB的數據,Panasonic Canada暫沒針對是否遭Conti入侵或其內部發生資安事件作出回應。

Conti是目前的主流勒索軟體,亦是一個人為操作的「雙重勒索」型勒索軟體,採用威脅曝光企業資料和加密資料勒索的雙重勒索策略, Panasonic Canada和Konica Minolta Marketing Services很有可能已回絕駭客支付贖金的要求,因此數據遭外洩。值得一提的是, Konica Minolta 和Panasonic的日本母公司內部也分別發生過資安事件, 2020年7月底日本柯尼卡美能達(Konica Minolta)曾遭勒索軟體RansomEXX攻擊,系統斷線數日; 2021年6 月日本松下(Panasonic)遭受了長達約五個月的入侵。

日本企業資安防禦不足,在去年和今年許多企業遭受網路攻擊,而這是值得台灣企業注意的警訊。

* 2022 年 3 月日本汽車零件大廠電裝公司(DENSO) 遭 Pandora勒索軟體攻擊

* 2022 年 3 月豐田的重要零部件供應商小島工業受到網路攻擊,最終導致豐田全國工廠必須停工。

* 2022 年 3 月三桜工業遭Conti勒索軟體攻擊毒手

*日本的輪胎製商普利司通在2月28日公佈,旗下普利司通美洲(Bridgestone Americas)遭到網路攻擊

*2021年2 月底環球晶旗下GlobalWafers Japan遭新型勒索組織Pandora,被盜1Tb數據

*2021年12 月底日本的東京コンピュータサービス(東京計算機服務株式會社)的企業網路遭Night Sky勒索軟體的攻擊

*Olympus的歐洲分公司在2021年9月份遭到BlackMatter勒索軟體攻擊10月份其美洲分公司又被網攻。

*2021年9月底,日本跨國電子企業JVC KENWOOD遭Conti入侵, 1.5TB 數據被竊,並遭勒索700 萬美元

*2021年6月,日本富士軟片 (FUJIFILM )為對抗潛在的勒索軟體攻擊,關閉系統,斷開與外部連線

*2021年5月,日本富士通(Fujitsu)的ProjectWEB平台經非法第三方存取,造成政府機構的數據外洩,包含日本外交部,交通部,內閣網路安全中心,和成田機場等現已經暫停使用該平台。

有關Conti勒索軟體的部分入侵指標(Indicator of compromise -IOCs):

SHA 256:

fa13f5a811e591c79f3207500604455879f34edf6ace61d5e34d54c3a5e8af64

ef2cd9ded5532af231e0990feaf2df8fd79dc63f7a677192e17b89ef4adb7dd2

f0278073fc7f61f547b0580522abc519630041e41782f86af1113ad0242f2da0

f092b985b75a702c784f0936ce892595b91d025b26f3387a712b76dcc3a4bc81

e64e350861b86d4e05668bc25e6c952880f6b39ca921496ccce1487dbf6acab6

SHA 1:

de2569f4f8591fb7d56af7165360811f7a2858ff

b96d0b726e1a2ff46847db035599291b8423aff4

cfdd6e3a69b12d43af94cb0441db3e1ef93f74f8

b374eb643b20e47cd9c45811c09e4e73b5871506

外媒取得Conti勒索軟體向台達電發出的ransom note,Conti再度攻擊台灣上市企業

Conti向台達電發出的ransom note(勒索信)檔案 Photo Credit: BleepingComputer

事源於6天前(1月22日)台達電發布重大訊息,證實遭駭客網路攻擊,台達電指出在21 日早上 6 點左右,公司偵測到伺服器遭受海外駭客攻擊,自偵測部份資訊系統遭受駭客網路攻擊,也立即啟動資安應變及防禦機制,同時協調外部資安專業公司共同處置,進行復原作業,並稱受影響之資訊系統陸續回復運作中,評估對營運無重大影響。就於攻擊手法、入侵指標、實際受損程度或是否被勒索攻擊等,無法完全從重訊得知。

然而,據觀察台達電官網在駭攻之後原本無法開啟,現顯示為維護中的狀態,同時發現已使用備用網域,重新上線。

台達電官網https://www.deltaww.com
台達電備用網域(https://www.deltapowersolutions.com)

同時台達電旗下的被動元件子公司乾坤科技的官網(https://www.cyntec.com) 也無法連上。

乾坤科技的官網

今綜合國內國外報導,台達電遭駭客攻擊事件的幕後黑手為Conti勒索軟體,Conti聲稱已經加密了台達電網路中共65,000台設備中的 1,500 台伺服器和 12,000 台電腦。Conti要求台達電支付 1500 萬美元(約新台幣4.12億元)的贖金來換取解密工具,還承諾如果台達電願意迅速付款,將給予折扣並不會公開從台達電網路竊取到的檔案,目前無法得知被竊檔案數量。在撰寫本文時,Conti勒索軟體在暗網的揭秘網站(Conti News)上,並沒有屬於台達電(Delta Electronics)為受害者的頁面,這可意味著雙方仍在就攻擊事件和贖金進行談判。

Conti在台達電的攻擊中有其特定的模式,據了解是以利用滲透工具Cobalt Strike搭配Atera來實現持久性,在此次事件中,已流出部署在台達電屬於Conti勒索軟體樣本的Hash值:

5ace33358a8b11ae52050d02d2d6705f04bd47a27c6c6e28ef65028bbfaf5da9

Conti勒索軟體於2020 年首次出現,在過去也曾攻擊過台灣上市企業研華科技,並入侵了多過國外大型企業及機構,如印尼央行愛爾蘭衛生健康署、遊戲公司卡普空Capcom、VOIP 硬體和軟體製造商Sangoma Technologies以及佛羅里達州和德州的醫院等。

製作TrickBot殭屍網路的駭客組織與釣魚郵件駭客Shatak聯手合作,在受害電腦上植入Conti勒索軟體

根據資安業者Cybereason最新的報告指出,TrickBot殭屍網路背後的駭客組織Wizard Spider目前正與 Shatak (TA551) 駭客組織合作,散布TrickBot 和 Bazar Backdoor 惡意軟體,以用於在受感染系統上部署 Conti 勒索軟體。研究人員發現,Shatak 和 TrickBot 於 2021 年 7 月開始合作,並取得了不錯的成果,

因此攻擊活動一直持續到今。

Shatak 的感染鏈
Photo Credit:Cybereason

Cybereason警告說Shathak 駭客組織正在大肆散佈惡意惡意垃圾郵件,這些郵件以受密碼保護的存檔檔案的形式附加到網路釣魚電子郵件中,檔案包含帶有macros的惡意檔案,這些macros可以下載和執行 TrickBot 或 BazarBackdoor,使駭客能進行包括偵察、橫向移動、竊取憑證和數據外洩。

據了解,製作TrickBot殭屍網路的駭客組織Wizard Spider(或被稱為ITG23),除通過勒索軟體即服務 ( Ransomware as a Service;RaaS ) 運作模式將惡意軟體的存取權出租給會員之外,還負責開發和維護Conti勒索軟體。

Cybereason 的研究人員說,他們觀察到駭客獲得初始入侵到企業網路,再到駭客實際部署勒索軟體的平均時間為兩天,可見這聯手合作發揮了相當大程度的功效。美國網路安全和基礎設施安全局 (CISA) 和聯邦調查局 (FBI) 警報,截至 2021 年 9 月,Conti 勒索軟體針對美國和其他國際企業的攻擊已發生超過 400 起。

為了保護系統免受 Conti 勒索軟體的入侵,CISA和FBI建議實施的緩解措施,包括多重身份驗證 (MFA)、禁用未使用的 RDP 服務、實施網路分段以及使操作系統和軟體保持最新狀態等。

美國CISA、FBI 和 NSA聯合警告,涉及Conti勒索軟體的攻擊持續升溫

儘管在幾週前Conti勒索軟體遭會員爆料並公開其攻擊和培訓的技術手冊,但 Conti 的攻擊並沒有放緩,在9月22 日,美國網路安全暨基礎安全局(CISA)、聯邦調查局(FBI)和國家安全局(NSA)共同發佈針對Conti勒索軟體的攻擊持續激增的警報,這三個美國聯邦機構稱,已觀察到Conti 勒索軟體對美國和其他國家的組織發動了 400 多次的攻擊,敦促企業 IT管理員審查其組織的網路安全狀況,並立即實施聯合警告中概述的行動,以抵禦 Conti 勒索軟體。

為了保護企業系統免受 Conti 勒索軟體的侵害,CISA、FBI 和NSA建議實​​施公告中描述的緩解措施,其中包括要求多因素身份驗證 (MFA)、實施網路分段以及保持操作系統和軟體是最新的版本。

根據這三個美國聯邦機構,操作Conti 的攻擊者常利用合法的遠端監控和管理軟體以及遠端桌面軟體作為後門來維持受害者網路的持久性。攻擊者使用受害者網路上已有的工具——並根據需要再添加額外的工具,如 Windows Sysinternals 和 Mimikatz——來獲取用戶的hashes和明文憑證,這使攻擊者能夠提升網域內的權限並執行其他後滲透攻擊和橫向移動。在一些被觀察到的案例,攻擊者還使用 TrickBot 惡意軟體來執行後滲透攻擊任務。

Conti 勒索軟體一個勒索軟體即服務 (RaaS),於 2019 年 12 月底首次出現,並通過 TrickBot 感染進行傳播,據信Conti由一個名為Wizard Spider的俄羅斯網路犯罪組織控制。自 2020 年 8 月以來,Conti在暗網啓動了其揭秘網站Conti News ,以揚言發佈盜取得來的機敏數據來威脅受害者,一般來說,在一個典型的Conti 勒索軟體攻擊中,操作Conti的駭客會竊取檔案、加密伺服器和工作站,並要求支付贖金。

另外,Conti 與臭名昭著的 Ryuk 勒索軟體共享其大部分程式碼,在 Ryuk 的攻擊活動於 2020 年 7 月開始放緩後,與TrickBot相關的駭客改用部署Conti勒索軟體進行攻擊,因此Conti被視為是Ryuk的接班人

以下為聯合警告中提供的緩解措施:

*使用多重身份驗證。

*實施網路分段和過濾流量。

*掃描漏洞並保持軟體更新。

*刪除不必要的應用程式並控管好應用

*實施使用端點和檢測回應工具。

*限制對網路資源的存取,尤其是限制 RDP。

*保護用戶帳戶

*如果受感染,請使用勒索軟體回應清單(Ransomware Response Checklist)

Conti勒索軟體的會員借助 ProxyShell漏洞,攻擊 Microsoft Exchange伺服器,在不到一分鐘取得權限!

Conti 在攻擊中使用的工具

安全研究人員警告說,Conti 勒索軟體組織的會員(Affiliate) 正在利用Microsoft Exchange Server 中的ProxyShell漏洞來攻擊並破壞企業網路。ProxyShell實際上是由3個漏洞所串連的漏洞(CVE-2021-34473、CVE-2021-34523 和 CVE-2021-31207),分別屬於遠端程式攻擊漏洞、權限擴張漏洞與安全功能繞過漏洞,它們同時影響Microsoft Exchange Server 2013、2016與2019,串連這些漏洞將允許駭客於系統上執行任意程式。

根據資安公司Sophos的觀察,攻擊以極快的速度發生,在一個事件回應案例中,研究人員在對攻擊進行分析後,發現Conti的會員用不到一分鐘就取得對目標網路的使用權限,在安裝了第一個 web shell 幾分鐘後,攻擊者便安裝了第二個 web shell。在不到 30 分鐘的時間內建立了一份完整份網路電腦、網域控制站和網域系統管理員的完整列表。僅僅四小時後,Conti的會員就取得網域系統管理員帳戶的憑證並開始執行命令。Sophos研究人員發現攻擊者在獲得存取權限後的 48 小時內竊取了大約 1 TB 的數據。五天後,他們將 Conti 勒索軟體部署到網路上的每台電腦,尤其針對它們的網路共用區。

在攻擊期間,Conti 的會員還在網路上安裝了不少於 7 個後門:兩個 web shell、Cobalt Strike 和四個AnyDesk、Aterta、Splashtop 和 Remote Utilities 的商用遠端存取工具。Cobalt Strike 和 AnyDesk 則是其餘攻擊的主要工具。這種作法迅速而高效率,因此安裝修補程式絕對是不可或缺的。

ProxyShell 和其他針對已知 Microsoft Exchange 漏洞的攻擊會帶來重大的風險。研究人員敦促使用 Microsoft Exchange Server的企業應盡快更新和修補伺服器的緊急建議。

有關Conti勒索軟體的入侵指標(Indicator of compromise -IOCs):

IPv4:

135.181.10.218

SHA1:

59e2d227bf8499d1d28116f922925980774ebf96

Source: https://news.sophos.com/en-us/2021/09/03/conti-affiliates-use-proxyshell-exchange-exploit-in-ransomware-attacks/?cmp=30728

駭客分贓鬧不和,Conti勒索軟體遭會員爆料公開其攻擊和培訓的技術手冊

提供勒索軟體即服務(Ransomware-as-a-Service, RaaS)的組織Conti,其會員因分到的贖金太少,心生不滿的在地下駭客論壇XSS上載了Conti勒索軟體培訓會員及用於攻擊的手冊。據了解,該技術手冊內容含如何在被駭公司內部存取、橫向移動和升級存取權限,同時還包含如何在加密檔案之前將數據盜取等。

心懷不滿的Conti RaaS會員在XSS論壇發布的帖子

一般來說,操作Conti勒索軟體的核心團隊在每次分贓可賺取贖金的20-30%,而其餘部分的則由其會員賺取。此次的爆料事件,疑是因為Conti會員只分到了$1500美元,而核心成員卻分到過百萬美元所引起的。這名深深不忿的Conti會員,今天將Conti的資訊包括Cobalt Strike C2伺服器的 IPs和包含大量工具和用於進行勒索軟體攻擊的培訓資料約 110 MB 的存檔,上傳到XSS駭客論壇,引起轟動。

快把Conti的IPs阻擋起來- 162.244.80.235/ 85.93.88.165/185.141.63.120/ 82.118.21.1

另外,根據國外資安媒體報導,外洩的手冊包含有關如何執行以下操作的指南:

*使用 MEGA 帳戶配置 Rclone軟體以進行數據洩露

*將AnyDesk 軟體配置作為受害者網路中的持久性和遠端存取的方法[一種已知的 Conti 策略

*配置和使用 Cobalt Strike

*使用 NetScan 工具掃描內部網路

 *在虛擬專用服務器 (VPS) 上安裝 Metasploit 滲透測試框架

*使用Ngrok 安全隧道通過 RDP 連接到被駭的網路

*在公司的被駭網路中提升並獲得管理員權限

*接管網域控制器

*從 Active Directory 轉儲密碼(NTDS 轉儲)

*執行 SMB 暴力攻擊

*強力路由器、NAS 設備和安全攝像頭

*使用 ZeroLogon 漏洞

*執行Kerberoasting攻擊

*禁用 Windows Defender 保護

*刪除卷影副本

*會員如何配置自己的操作系統以使用 Tor 匿名網路等

有關Conti勒索軟體的情資:

https://otx.alienvault.com/pulse/5f0781369d8978954c40d9f1

https://otx.alienvault.com/pulse/60a2d0486c6e368ed30220da

愛爾蘭高等法院下令VirusTotal提交上傳或下載了愛爾蘭衛生健康署被盜數據的有關人士個資

在英國《金融時報》歸還了數據,但拒絕透露提供樣本的來源下,高等法院要求 VirusTotal交出下載或上傳 HSE 數據的用戶資訊

今年 5 月,愛爾蘭的公共醫療保健系統 Health Service Executive, HSE被Conti 勒索軟體攻擊,該攻擊使HSE在設備被加密後造成 IT 系統大規模中斷,嚴重影響該國的醫療服務,Conti在攻擊過程竊取了HSE 約700GB 的數據,據稱這些數據包括患者和員工個資、合約、財務報表、會議記錄、薪資單等。

據金融時報的報導,有人將27份HSE的檔案包含12名病患的個資上傳到惡意檔案分析網站VirusTotal上,檔案在 5 月 25 日被 Chronicle (VirusTotal的母公司)刪除之前被VirusTotal用戶下載了 23 次。VirusTotal除了掃描惡意檔案之外,還能充當上傳檔案的存儲庫,允許訂閱者搜索和下載檔案以分析他們自己的安全研究或改進他們的安全軟體。

在愛爾蘭法院發布禁令要求任何擁有被盜數據的人將其歸還給 HSE 後,英國《金融時報》歸還了數據,但拒絕透露提供樣本的來源。

週二,愛爾蘭高等法院發布命令,要求 VirusTotal 的所有者 Chronicle Security Ireland 和 Chronicle LLC 交出下載或上傳 HSE 數據的用戶的個資包括電子郵件地址、電話號碼、IP 地址或地址。高等法院法官也同時指出,被告沒有反對下達的命令,即所謂的Norwich Pharmacal Order第三方披露令。

有關Conti勒索軟體的情資:

https://otx.alienvault.com/pulse/60a2d0486c6e368ed30220da

https://otx.alienvault.com/pulse/5f0781369d8978954c40d9f1

Conti勒索軟體為愛爾蘭衛生健康署提供”免費”解密程式,但稱仍會公開盜取的資料,愛爾蘭高等法院發布超級禁令,要求Conti歸還數據

Conti勒索軟體的背後駭客已為愛爾蘭衛生健康署(Health Service Executive, HSE)發布了免費的解密程式,但警告他們仍將出售或公開盜來的數據。上週五(5/15),愛爾蘭的HSE(即該國的公共資助醫療系統)和衛生部(Department of Health)遭到了Conti勒索軟體攻擊,後者所幸及時發現未被得逞, HSE被迫關閉其IT系統並切斷網路預防災害擴大,但該國的衛生服務被仍嚴重影響。

據相信攻擊背後的網路犯罪組織為巫師蜘蛛(Wizard Spider),其總部位於俄羅斯聖彼得堡地區,該組織主要使用Trickbot,Ryuk和Conti三種惡意軟體。

今天Conti的背後駭客在其與HSE的談判頁面上發布了指向免費解密工具的連結,該連結可用於免費復原被加密的檔案。資安研究組織Malware Hunter Team也證實解密工具能還原HSE的檔案,但駭客警告說,如果不支付19,999,000美元的贖金,他們仍將在出售或公開盜取的私人數據。

Conti在其與HSE的談判頁面上發布的免費解密程式

愛爾蘭的BH Consulting的CEO,Europol的前網路安全顧問Brian Honan表示,即使解密工具有效,上週攻擊達到前所未有的規模,HSE需重建其IT基礎架構。他說:“這是為了確保系統乾淨無感染,並且罪犯沒有在這些系統上植入任何其他惡意軟體。”

今早,HSE獲得了都柏林高等法院(Dublin’s High Court)的禁令,該禁令要求擁有從HSE竊取數據的任何人將其移交,並且不得透露,交易或處理該數據。HSE表示,此舉旨在將在Google和Twitter等網站共享HSE被盜的數據視為非法, HSE同時已將該禁令上傳Conti勒索軟體的暗網頁面上。

法院的禁令還包含求威脅行為者歸還數據,並通過透露其姓名,電子郵件地址和實際地址來識別身份。

相信Conti的背後駭客不會屈服於禁令,但預計駭客所在的國家將幫助跟踪和防止威脅行為者洩漏數據。

愛爾蘭國家網路安全中心發布警報,有關Conti勒索軟體對衛生部門攻擊的情資:

https://otx.alienvault.com/pulse/60a2d0486c6e368ed30220da

其他有關Conti勒索軟體的情資:

https://otx.alienvault.com/pulse/5f0781369d8978954c40d9f1