Conti勒索軟件攻勢(shì)兇猛,美國(guó)三大聯(lián)邦部門(mén)聯(lián)合發(fā)布預(yù)警
2021-09-24
來(lái)源:互聯(lián)網(wǎng)安全內(nèi)參
美國(guó)三大聯(lián)邦機(jī)構(gòu)聯(lián)合發(fā)布預(yù)警,2020年至今發(fā)現(xiàn)400多起針對(duì)美國(guó)和國(guó)際組織的攻擊中,使用Conti勒索軟件的數(shù)量正急劇上升;
Conti勒索軟件主要使用“雙重勒索”,曾泄露塔爾薩市警察局內(nèi)部數(shù)據(jù)、令?lèi)?ài)爾蘭公共衛(wèi)生系統(tǒng)癱瘓數(shù)周;
今年5月,F(xiàn)BI曾發(fā)布了Conti攻擊美國(guó)醫(yī)療保健和急救網(wǎng)絡(luò)的預(yù)警。
美國(guó)國(guó)土安全部網(wǎng)絡(luò)安全與基礎(chǔ)設(shè)施安全局、聯(lián)邦調(diào)查局和國(guó)家安全局在本周三聯(lián)合發(fā)布警告,敦促各組織盡快更新系統(tǒng),以應(yīng)對(duì)Conti勒索軟件攻擊不斷增加的現(xiàn)實(shí)威脅。
網(wǎng)絡(luò)與基礎(chǔ)設(shè)施安全局和FBI在報(bào)告中稱(chēng),在2020年春季至2021年春季期間,美國(guó)本土及國(guó)際組織遭遇了400多次網(wǎng)絡(luò)攻擊,其中使用Conti勒索軟件的數(shù)量正在急劇上升。該團(tuán)伙主要開(kāi)展“雙重勒索”活動(dòng),即加密數(shù)據(jù)的同時(shí)竊取數(shù)據(jù)。受害者需要支付贖金以恢復(fù)對(duì)系統(tǒng)的正常訪(fǎng)問(wèn);如果拒不配合,那么攻擊一方將威脅披露被盜數(shù)據(jù)。
FBI今年5月在報(bào)告中強(qiáng)調(diào),在上報(bào)的400起攻擊活動(dòng)當(dāng)中,至少有16起指向美國(guó)醫(yī)療保健服務(wù)商與急救網(wǎng)絡(luò)。
Conti勒索軟件團(tuán)伙與今年出現(xiàn)的多起重大攻擊行為有關(guān)。6月,該團(tuán)伙從塔爾薩市警方手中竊取了約18000份文件,市政方面拒絕付款后,部分文件遭到外泄。今年早些時(shí)候,Conti勒索軟件團(tuán)伙還給愛(ài)爾蘭公共衛(wèi)生系統(tǒng)造成長(zhǎng)達(dá)數(shù)周的服務(wù)中斷。
網(wǎng)絡(luò)與基礎(chǔ)設(shè)施安全局網(wǎng)絡(luò)安全執(zhí)行助理主任Eric Goldstein表示,“隨著惡意網(wǎng)絡(luò)攻擊者不斷將大型與小型企業(yè)、組織及政府部門(mén)作為目標(biāo),越來(lái)越多的美國(guó)民眾開(kāi)始切身體會(huì)到勒索攻擊流行帶來(lái)的現(xiàn)實(shí)后果。”
美國(guó)國(guó)家安全局網(wǎng)絡(luò)安全主管Rob Joyce在咨詢(xún)意見(jiàn)中警告稱(chēng),最近攻擊活動(dòng)背后的網(wǎng)絡(luò)犯罪分子,長(zhǎng)期以來(lái)一直在緊盯包括國(guó)防工業(yè)在內(nèi)的各類(lèi)關(guān)鍵基礎(chǔ)設(shè)施。
此次警報(bào)發(fā)布之際,美國(guó)網(wǎng)絡(luò)安全官員正面臨著日益嚴(yán)重的勒索軟件攻勢(shì)。這類(lèi)攻擊已經(jīng)導(dǎo)致學(xué)校、醫(yī)院、企業(yè)、地方政府以及對(duì)于美國(guó)社會(huì)正常運(yùn)作至關(guān)重要的多個(gè)基礎(chǔ)性行業(yè)陷入癱瘓。就在本周早些時(shí)候,黑客團(tuán)伙BlackMatter攻擊了愛(ài)荷華州農(nóng)業(yè)企業(yè)NEW Cooperative,引發(fā)人們對(duì)于農(nóng)業(yè)供應(yīng)鏈中斷的擔(dān)憂(yōu)。而根據(jù)網(wǎng)絡(luò)與基礎(chǔ)設(shè)施安全局周三發(fā)布的另一份聲明,New Cooperative一直在與該局及FBI合作開(kāi)展業(yè)務(wù)恢復(fù)工作。
周三發(fā)布的這份Conti警告,還具體分析了該團(tuán)伙的技術(shù)手段與組織結(jié)構(gòu)。
報(bào)告解釋道,“Conti可能是一種采用勒索軟件即服務(wù)(RaaS)模式的勒索軟件變體,其組織結(jié)構(gòu)與典型的黑客團(tuán)伙有所區(qū)別。Conti開(kāi)發(fā)者很可能是向勒索軟件的實(shí)際部署者支付工資,而不是按成功攻擊后的非法所得進(jìn)行分成。”
Conti經(jīng)常通過(guò)魚(yú)叉式網(wǎng)絡(luò)釣魚(yú)攻擊或者將惡意下載鏈接偽裝成真實(shí)軟件等形式,獲取對(duì)于目標(biāo)系統(tǒng)的初始訪(fǎng)問(wèn)權(quán)限。之后,他們會(huì)利用訪(fǎng)問(wèn)權(quán)限掃描憑證以獲取更高權(quán)限。本月早些時(shí)候,某心懷不滿(mǎn)的參與者公布了Conti手冊(cè),可以看到該組織已經(jīng)將多個(gè)微軟安全漏洞指定為初步訪(fǎng)問(wèn)點(diǎn)。
警報(bào)最后還提到,各組織可以通過(guò)更新操作系統(tǒng)、應(yīng)用多因素身份驗(yàn)證等方式抵御Conti勒索軟件的沖擊。
