首页 >> 网络安全 >>病毒分析 >> 美国警告来自 CONTI RANSOMWARE 的持续威胁
详细内容

美国警告来自 CONTI RANSOMWARE 的持续威胁

时间:2021-09-27        阅读

Conti 勒索软件运营商一年多来一直是一种威胁,在过去几个月中,对医疗保健提供者、911 系统和许多其他关键组织的攻击都与 Conti 关联公司有关。尽管该组织的内部剧本几周前在网上泄露,但 Conti 的攻击并没有放缓,FBI、CISA。和 NSA 正在警告企业,该组织的威胁仍在继续。


Conti是近年来兴起的众多勒索软件即服务 (RaaS) 业务之一,其附属公司已表示愿意以几乎任何类型的组织为目标。今年早些时候,Conti 的一家附属公司破坏了爱尔兰的卫生服务执行机构,拆除了该服务的大部分基础设施,并迫使取消预约和大规模的护理延误。爱尔兰警方后来查获了一些 Conti 基础设施,但与大多数 RaaS 集团一样,它的分布式行动并未完全被行动打乱。


周三,处理网络安全问题的三个顶级联邦政府机构发布了关于 Conti 行动持续威胁的警告,称他们最近看到了 400 多次 Conti 攻击。Conti 附属公司使用各种技术来获得对目标网络的初始访问权限,包括网络钓鱼活动、窃取凭据或通过其他恶意软件系列进行安装。一旦进入网络,攻击者通常会使用合法工具进行横向移动和网络清单。


“众所周知,Conti 攻击者利用合法的远程监控和管理软件以及远程桌面软件作为后门来维持受害者网络的持久性。攻击者使用受害者网络上已有的工具——并根据需要添加额外的工具,如 Windows Sysinternals 和 Mimikatz——来获取用户的哈希值和明文凭据,从而使攻击者能够提升域内的权限并执行其他后开发和横向移动任务。在某些情况下,攻击者还使用 TrickBot 恶意软件来执行后开发任务,”来自 CISA、NSA 和 FBI 的建议说。


几周前出现在网上的 Conti 手册包含了很多关于附属机构的责任、使用的工具以及一旦他们进入新网络后如何找到管理员访问权限的详细信息。Cisco Talos 研究人员将剧本从俄语翻译成英语后显示,该组织拥有多种工具和技术可供使用。


“众所周知,Conti 攻击者会利用合法的远程监控和管理软件以及远程桌面软件作为后门。”


“对手还包括有关 Cobalt Strike 中 CVE-2020-1472 Zerologon 漏洞利用的说明。在 2021 年第二季度的先前 Ryuk 勒索软件参与中,我们观察到攻击者在该环境中访问了几个额外的资源,并利用 CVE-2020-1472 的特权升级漏洞来冒充域控制器,”Talos 研究人员说。


“Talos 于 2020 年 9 月首次开始使用 Zerologon 特权升级漏洞观察 Ryuk 对手,并于 10 月继续更新他们对医疗保健和公共卫生部门的攻击。一些研究人员将孔蒂描述为 Ryuk 的继任者。”


Conti 附属公司还在其运营中使用公开可用的合法工具,包括 Cobalt Strike 和其他工具。


“Conti 参与者经常使用开源 Rclone 命令行程序进行数据泄露。攻击者窃取并加密受害者的敏感数据后,他们采用双重勒索技术,要求受害者支付赎金以释放加密数据,并威胁受害者如果不支付赎金,则公开发布数据, ”咨询说。

ots网络logo

OTS网络安全门户主要提供网络信息安全教程、文章、工具,让更多的小伙伴加入我们的社区一起学习。

技术支持: 建站ABC | 管理登录