最具攻擊性的勒索軟件組織Conti
Palo Alto Networks公司的研究人員在一項分析中說:“通常情況下,更成功的勒索軟件運營商會付出很多努力來建立和維護某種‘完整性’的外表,以此作為便利受害者支付贖金的一種方式。他們希望在‘客戶服務’和兌現他們的承諾方面建立良好的聲譽——如果受害者支付贖金,其文件將被解密(而且不會將它們放在泄密網站上)。但根據我們幫助客戶安全防護的經驗對這些網絡攻擊進行補救,Conti勒索軟件沒有表現出任何跡象表明它關心自己在潛在受害者中的聲譽。”
Conti勒索軟件在2019年底首次出現,并逐漸發展成為主要的勒索軟件即服務(RaaS)運營商之一。據悉它與Ryuk勒索軟件有一些聯系,Ryuk軟件由名為Wizard Spider的網絡犯罪組織運營。美國國土安全部網絡安全和基礎設施安全局(CISA)和美國聯邦調查局(FBI)在最近發布的一次警報中表示,他們觀察到在針對美國和國際組織的400多次網絡攻擊中使用了Conti勒索軟件。根據網絡犯罪情報機構Recorded Future公司的調查,Conti是造成2021年9月受害者數量第二多的勒索軟件,僅次于LockBit。
Conti的運作方式也與其他RaaS團伙略有不同。大多數網絡攻擊團伙與稱為附屬機構的合作伙伴合作以危害受害者,并部署勒索軟件程序以支付一定比例的贖金,但據悉Conti向其開發者支付月薪。
Conti如何獲得初始網絡訪問權限
使用Conti的網絡攻擊者采用多種方法來獲取對企業網絡的訪問權限,包括從已經擁有此類訪問權限的其他團體(即所謂的網絡訪問代理)那里購買訪問權限。與Ryuk一樣,Conti勒索軟件也使用TrickBot惡意軟件以及IcedID等其他木馬進行訪問。這些木馬程序通常通過包含惡意鏈接或Microsoft Word附件的魚叉式網絡釣魚電子郵件進行分發。
被盜或弱遠程桌面協議(RDP)憑據也是Conti和所有勒索軟件團伙進入網絡的常見方法。美國國土安全部網絡安全和基礎設施安全局(CISA)和美國聯邦調查局(FBI)的公告還提到,通過搜索引擎優化、惡意軟件分發網絡(如ZLoader)以及利用外部IT資產中的漏洞推廣的虛假軟件是Conti勒索軟件團伙獲得訪問權限的其他常見方法。在Sophos公司調查的導致Conti部署的入侵事件中,該公司發現運行易受攻擊固件的FortiGate防火墻設備受到攻擊。
Conti如何橫向移動
一旦進入一家企業的網絡,黑客就會使用一系列工具來映射網絡并擴大他們的訪問范圍。研究人員已經看到了Cobalt Strike攻擊框架和名為Router Scan的滲透測試工具的使用,該工具可以掃描和暴力破解路由器、攝像頭和網絡連接存儲設備的Web管理憑據。
網絡攻擊者還發起Kerberos攻擊,目的是獲取管理員哈希值并進行暴力攻擊。包括Conti在內的許多團體都使用諸如Windows Sysinternal或Mimikatz之類的通用工具來獲取用戶哈希和明文憑據,從而在域內實現權限提升和橫向移動。
還觀察到Conti附屬公司利用網絡內眾所周知的Windows漏洞,如Windows打印后臺處理程序服務中的SMB服務器(包括EternalBlue)、PrintMonamine(CVE-2021-34527)或Microsoft Active Directory域控制器系統中的Zerologon(CVE-2020-1472)。
Conti如何加密文件和刪除備份
Conti團伙并不直接部署勒索軟件,而是依賴更輕量級的加載程序,可以逃避防病毒檢測。該組織使用Cobalt Strike和Meterpreter(Metasploit)木馬程序,以及名為getuid的加載程序將勒索軟件直接注入內存。
Sophos公司的研究人員在今年早些時候的一項分析中說,“由于反射加載程序將勒索軟件有效載荷傳送到內存中,不會將勒索軟件二進制文件寫入受感染計算機的文件系統,因此網絡攻擊者消除了影響大多數其他勒索軟件系列的關鍵致命弱點:即使是經驗豐富的惡意軟件分析師也無法發現漏洞。”
該勒索軟件還通過使用哈希值而不是API函數并在其上添加另一層加密來混淆其字符串和Windows API調用。所有這些都是為了使安全程序的自動檢測和人工逆向工程變得困難。
Conti勒索軟件的另一個有趣方面是它支持命令行執行參數,這些參數指示它加密本地磁盤、特定網絡共享甚至文件中定義的網絡共享列表。VMware公司的研究人員在分析中說:“這種能力的顯著影響是它可以在環境中造成有針對性的破壞,這種方法可能會阻礙事件響應活動。成功的攻擊可能造成的破壞僅限于沒有互聯網功能的服務器,但在環境中的其他地方沒有類似破壞的證據。這也具有降低勒索軟件總體‘噪音’的效果,數百個系統立即開始顯示感染跡象的攻擊。與其相反,一旦用戶訪問數據,加密甚至可能在數天或數周后都不會被注意到。”
Conti使用AES-256算法通過在勒索軟件程序中硬編碼的公鑰來加密文件。這意味著每個二進制文件都是為每個受害者專門制作的,以確保受害者擁有唯一的密鑰對。它還允許程序加密文件,即使它無法聯系命令和控制服務器。
Conti勒索軟件攻擊團伙還投入了大量精力來使恢復工作復雜化。該勒索軟件首先禁用和刪除Windows卷影副本,然后還會迭代大約160個命令以禁用各種Windows系統服務,包括一些與第三方備份解決方案相關的服務,包括Acronis VSS Provider、企業客戶端服務、SQL安全備份服務、SQL安全過濾服務、Veeam備份目錄數據服務和Acronis Agent。
雙重勒索的數據泄露
根據安全服務商AdvIntel公司的一份報告,Conti不僅刪除備份,還利用備份服務來竊取數據,以便他們以后可以用數據泄露威脅受害者。AdvIntel公司的研究人員說,“Conti尋找Veeam特權用戶和服務,并利用訪問、泄露、刪除和加密備份來確保勒索軟件漏洞無法備份。通過這種方式,Conti同時泄露了數據以進一步勒索受害者,同時在刪除備份后,受害者沒有機會快速恢復其文件。”
還觀察到Conti攻擊者經常使用Rclone開源實用程序將企業數據上傳到Mega等基于云的文件托管服務。
與當今大多數勒索軟件組織一樣,Conti維護著一個數據泄露網站,在該網站上發布有關新受害者的信息。該組織最近對其與受害者的贖金談判談話被泄露給媒體的事實感到惱火。發生這種情況是因為此類協商是通過網絡攻擊者建立的特定于受害者的“支付站點”進行的,這些站點通常包含在留給受害者的贖金票據中。如果將贖金記錄上傳到Virus Total等服務,惡意軟件研究人員就可以找到支付站點并可能看到受害者與該組織之間的交流。
該團伙在最近的一篇博客文章中威脅說,如果談判內容被泄露,他們將發布與其談判的任何受害者的數據。這發生在該團伙入侵日本電子制造商JVCKenwood公司之后。該組織寫道,“例如昨天,我們發現一周前與JVCKenwood的聊天泄露給媒體。”Conti在文章中表示,其談判是按照正常的商業運作進行的。但是,由于媒體發布的消息是在談判中途進行的,導致決定終止談判并發布數據。JVCKenwood公司已經得到通知。此外,我們在本周再次發現了在社交媒體上傳播的談判內容截圖。”
此外,該組織警告說,如果在支付贖金和刪除受害者檔案之后,其談判內容被泄露,它將以集體懲罰的形式公布從另一名受害者那里竊取的數據。
如何緩解Conti攻擊
美國國土安全部網絡安全和基礎設施安全局(CISA)和美國聯邦調查局(FBI)聯合公告了包含一般勒索軟件緩解建議和其他資源,包括對帳戶使用多因素身份驗證、實施網絡分段和流量過濾、掃描軟件漏洞和保持軟件產品最新、刪除不必要的應用程序和應用軟件執行限制和控制,限制遠程訪問(例如RDP)并限制對網絡資源的訪問,審核和限制管理帳戶的使用以及實施端點和檢測響應工具。
該公告還包含指向Conti妥協指標(IOC)列表的鏈接,該團伙使用的技術和程序在MITREATT&CK框架中進行了描述。
