Palo Alto Networks研究人员在一项分析中说:“通常,更成功的勒索软件运营商会付出很多努力来建立和维护某些软件‘完整性’作为方便受害者支付赎金的一种方式。他们希望‘客户服务’建立良好的声誉,履行他们的承诺——如果受害者支付赎金,其文件将被解密(不会放在泄密网站上)。但根据我们帮助客户安全保护的经验来补救这些网络攻击,Conti勒索软件没有表现出任何关心潜在受害者声誉的迹象。”
Conti勒索软件于2019年底首次出现,并逐渐发展成为主要的勒索软件,即服务(RaaS)运营商之一。据报道,它与Ryuk勒索软件有一些联系,Ryuk软件由名为Wizard Spider组织和运营网络犯罪。美国国土安全部网络安全和基础设施安全局(CISA)美国联邦调查局(FBI)他们在最近发布的一份警告中观察到,他们在400多次针对美国和国际组织的网络攻击中使用了它Conti勒索软件。根据网络犯罪情报机构Recorded Future公司调查,Conti是2021年9月受害者数量第二多的勒索软件,仅次于LockBit。
Conti还有其他操作方法RaaS这个团伙有点不同。大多数网络攻击团伙与被称为附属机构的合作伙伴合作,以伤害受害者,并部署勒索软件程序以支付一定比例的赎金,但据报道Conti向其开发者支付月薪。
Conti如何获得初始网络访问权限?
使用Conti网络攻击者采用多种方式获取企业网络的访问权限,包括从其他已经拥有此类访问权限的团体(即所谓的网络访问代理)购买访问权限。Ryuk一样,Conti还使用了勒索软件TrickBot恶意软件和IcedID访问其他木马。这些木马程序通常包含恶意链接或Microsoft Word附件的鱼叉式网络钓鱼电子邮件进行分发。
被盗或弱远程桌面协议(RDP)凭据也是Conti与所有勒索软件团伙进入网络的常用方法。网络安全和基础设施安全局(CISA)美国联邦调查局(FBI)公告还提到,通过搜索引擎优化和恶意软件分发网络(如ZLoader)利用外部IT推广资产漏洞的虚假软件是Conti其他常见的获取访问权限的方法是勒索软件团伙。Sophos导致公司调查Conti在部署的入侵事件中,公司发现容易攻击固件FortiGate防火墙设备受到攻击。
Conti如何横向移动
黑客一旦进入企业网络,就会使用一系列工具来映射网络,扩大其访问范围。研究人员已经看到了Cobalt Strike攻击框架和名称Router Scan的渗透测试工具的使用,该工具可以扫描和暴力破解路由器、摄像头和网络连接存储设备的Web管理凭据。
网络攻击者络攻击者Kerberos攻击的目的是获得管理员哈希值并进行暴力攻击。Conti包括许多团体在内的许多团体都被使用,比如Windows Sysinternal或Mimikatz获取用户哈希和明文凭证等通用工具,实现域内权限升级和横向移动。
还观察到Conti附属公司利用众所周知的网络Windows漏洞,如Windows在打印后台处理程序服务中SMB服务器(包括EternalBlue)、PrintMonamine(CVE-2021-34527)或Microsoft Active Directory域控制器系统中的Zerologon(CVE-2020-1472)。
Conti如何加密文件并删除备份
Conti该团伙不直接部署勒索软件,而是依靠更轻的加载程序来避免病毒检测。该组织使用Cobalt Strike和Meterpreter(Metasploit)木马程序,以及名字getuid勒索软件直接注入内存。
Sophos在今年早些时候的一项分析中,该公司的研究人员表示,“由于反射加载程序将勒索软件的有效负载传输到内存中,勒索软件的二进制文件不会写入感染计算机的文件系统,网络攻击者消除了影响大多数其他勒索软件系列的关键致命弱点:即使是经验丰富的恶意软件分析师也找不到漏洞。”
勒索软件也使用哈希值而不是哈希值API添加另一层加密函数混淆字符串和Windows API调用。所有这些都是为了使安全程序的自动检测和人工逆向工程变得困难。
Conti勒索软件的另一个有趣方面是它支持命令执行参数,指示其加密本地磁盘、特定网络共享甚至文件中定义的网络共享列表。VMware该公司的研究人员在分析中说:“这种能力的显著影响是,它可能会对环境造成有针对性的损害,这可能会阻碍事件响应活动。成功攻击可能造成的损坏仅限于没有互联网功能的服务器,但在环境中的其他地方没有类似的损坏证据。这也可以减少整体勒索软件‘噪音’数百个系统立即开始攻击感染迹象。相反,一旦用户访问数据,加密甚至可能在几天或几周后都不会被注意到。”
Conti使用AES-256该算法通过在勒索软件程序中硬编码的公钥加密文件。这意味着每个二进制文件都是专门为每个受害者制作的,以确保受害者拥有唯一的密钥对。它还允许程序加密文件,即使它不能联系命令和控制服务器。
Conti勒索软件攻击团伙还投入了大量精力复杂化恢复工作。首先,勒索软件被禁止和删除。Windows卷影副本将迭代大约160个命令,禁止各种命令Windows系统服务包括与第三方备份解决方案相关的一些服务,包括Acronis VSS Provider、企业客户端服务,SQL安全备份服务,SQL安全过滤服务,Veeam备份目录数据服务和Acronis Agent。
数据泄露的双重勒索
根据安全服务提供商AdvIntel公司的报告,Conti不仅删除备份,还使用备份服务窃取数据,以便他们将来能够用数据泄露来威胁受害者。AdvIntel该公司的研究人员表示,“Conti寻找Veeam利用访问、泄露、删除和加密备份,确保勒索软件漏洞无法备份。Conti数据被泄露以进一步勒索受害者,在删除备份后,受害者没有机会快速恢复其文件。”
还观察到Conti经常使用攻击者Rclone将企业数据上传到开源实用程序中Mega基于云的文件托管服务。
和今天大多数勒索软件组织一样,Conti维护一个数据泄露网站,在网站上发布关于新受害者的信息。该组织最近对其与受害者的赎金谈判被泄露给媒体的事实感到愤怒。这是因为这种谈判是由网络攻击者建立的“支付站点”这些网站通常包含在受害者的赎金账单中。如果将赎金记录上传到Virus Total恶意软件研究人员可以找到支付网站,并可能看到受害者与该组织之间的沟通。
该团伙在最近的一篇博客文章中威胁说,如果谈判被泄露,他们将发布任何与他谈判的受害者的数据。这发生在该团伙入侵日本电子制造商JVCKenwood公司之后。该组织写道,“比如昨天,我们发现一周前和一周前JVCKenwood聊天泄露给媒体。”Conti在文章中表示,其谈判是按照正常的商业运作进行的。但是,由于媒体发布的消息是在谈判中途进行的,导致决定终止谈判并发布数据。JVCKenwood该公司已被通知。此外,本周我们还发现了在社交媒体上传播的谈判截图。”
此外,该组织警告说,如果在支付赎金和删除受害者档案之后,其谈判内容被泄露,它将以集体惩罚的形式公布从另一名受害者那里窃取的数据。
如何缓解Conti攻击
网络安全和基础设施安全局(CISA)美国联邦调查局(FBI)联合公告包括一般勒索软件缓解建议等资源,包括多因素身份验证、网络分段和流量过滤、软件漏洞扫描、软件产品最新维护、不必要的应用程序和应用软件删除、远程访问(如RDP)并限制网络资源的访问、审计和限制账户管理的使用以及端点和检测响应工具的实施。
该公告还包括指向Conti妥协指标(IOC)该团伙使用的技术和程序链接列表MITREATT&CK描述了框架。