CISA sendte onsdag ut en veiledning sentrert rundt Conti -ransomware, med detaljert informasjon for cybersikkerhetssamfunnet om ransomware -gruppen og dets tilknyttede selskaper.
Både CISA og FBI sa at de har sett mer enn 400 angrep som involverte Contis ransomware rettet mot amerikanske organisasjoner så vel som internasjonale virksomheter. FBI har tidligere involvert Conti i angrep på minst 290 organisasjoner i USA. CISA tilbød en teknisk oversikt over hvordan ransomware -gruppens operatører vanligvis fungerer og hvilke skritt organisasjoner kan ta for å dempe potensielle angrep.
CISA bemerket at mens Conti driver en ransomware-as-a-service-modell, gjør de det litt annerledes enn andre. I stedet for å betale tilknyttede selskaper en kutt i inntektene som kommer fra løsepenger, betaler gruppen lønningene til distributørene av ransomware, ifølge CISA.
Rob Joyce, direktør for cybersikkerhet ved NSA, sa at nettkriminelle som nå driver Conti ransomware-as-a-service historisk har rettet seg mot kritisk infrastruktur, for eksempel Defence Industrial Base (DIB). Han la til at de rådgivende høydepunktene handlinger organisasjoner kan gjøre akkurat nå for å motvirke trusselen.
“NSA jobber tett med våre partnere, og gir kritisk intelligens og gjør operasjoner i stand til å motvirke ransomware -aktiviteter. Vi anbefaler på det sterkeste å bruke de lindringene som er beskrevet i denne veiledningen for å beskytte mot Conti -skadelig programvare og redusere risikoen mot ransomware -angrep,” sa Joyce.
På Twitter sa Joyce at Conti -angrepene øker, og han oppfordret organisasjoner til å bruke Utenriksdepartementet, segmentere sine nettverk og utforske bruk av et oppdateringssystem for oppdatering av nettverk.
CISA forklarte at Conti -aktører vanligvis bruker en rekke metoder og verktøy for å infiltrere systemer, inkludert spearphishing -kampanjer, fjernovervåkings- og administrasjonsprogramvare og remote desktop -programvare.
Spearphishing -kampanjene som CISA så, brukte skreddersydde e -postmeldinger som inneholder ondsinnet vedlegg eller lenker.
Stolen eller svak legitimasjon for Remote Desktop Protocol (RDP), telefonsamtaler, falsk programvare som fremmes via søkemotoroptimalisering, andre distribusjonsnettverk for skadelig programvare som ZLoader og vanlige sårbarheter i eksterne eiendeler ble alle nevnt som verktøy Conti -aktører har brukt under ransomware -angrep.
“Malicious Word -vedlegg inneholder ofte innebygde skript som kan brukes til å laste ned eller slippe annen skadelig programvare – for eksempel TrickBot og IcedID, og/eller Cobalt Strike – for å hjelpe til med lateral bevegelse og senere stadier av angrepets livssyklus med det endelige målet distribusjon av Conti ransomware, “forklarte CISA.
“I utførelsesfasen kjører skuespillere en getuid nyttelast før de bruker en mer aggressiv nyttelast for å redusere risikoen for å utløse antivirusmotorer. CISA og FBI har observert Conti -aktører ved å bruke Router Scan, et penetrasjonstestverktøy, for å skanne skadelig og rute force routere med ondsinnet bruk , kameraer og nettverkstilkoblede lagringsenheter med webgrensesnitt. I tillegg bruker aktører Kerberos-angrep for å prøve å få Admin-hash til å utføre angrep med brutal kraft. ”
Operatørene av Contis ransomware har også blitt sett på å bruke ekstern overvåkings- og administrasjonsprogramvare, så vel som ekstern stasjonær programvare som bakdører for å opprettholde utholdenhet i offerets nettverk.
CISA forklarte at noen ganger bruker ransomware-gruppen og dets tilknyttede verktøy verktøy som allerede er på offerets nettverk, eller legger til verktøy som Windows Sysinternals og Mimikatz for å “skaffe brukernes hash og klar tekst, som gjør at aktørene kan eskalere privilegier på et domene og utføre andre oppgaver etter utnyttelse og lateral bevegelse. “
TrickBot-skadelig programvare brukes også i noen tilfeller som en måte å utføre andre oppgaver etter utnyttelse.
Den rådgivende bemerket at “gjenstander fra en lekket trusselaktørs lekebok, identifiserer IP -adresser Conti -aktører har brukt for sin ondsinnede aktivitet.” Spillboken viser også at Conti -operatører tar sikte på å utnytte sårbarheter i ikke -oppdaterte eiendeler, for eksempel Microsoft Windows Server Server Message Block 1.0 -server -sårbarheten, “PrintNightmare” -sårbarheten og “Zerologon” -sårbarheten.
“CISA og FBI har observert Conti-aktører som bruker forskjellige Cobalt Strike-server-IP-adresser som er unike for forskjellige ofre. Conti-aktører bruker ofte Rclone-kommandolinjeprogrammet med åpen kildekode for dataeksfiltrering,” sa rådgiveren.
“Etter at aktørene stjeler og krypterer offerets sensitive data, bruker de en dobbel utpressingsteknikk der de krever at offeret betaler løsepenger for frigjøring av de krypterte dataene og truer offeret med offentlig utgivelse av data hvis løsepengen ikke er betalt. “
Som Joyce sa, foreslo CISA, FBI og NSA organisasjoner å segmentere sine nettverk, filtrere trafikk, søke etter sårbarheter og holde seg oppdatert med alle oppdateringer. De la til at unødvendige applikasjoner og brukskontroller bør fjernes, endepunkt- og deteksjonsresponsverktøy bør implementeres og tilgangen bør begrenses på tvers av nettverk.
Conti gjorde seg bemerket etter å ha angrepet hundrevis av helseinstitusjoner- inkludert et ødeleggende ransomware-angrep på Irlands Health Service Executive 14. mai- samt skoler som University of Utah og andre offentlige organisasjoner som byregjeringen i Tulsa, Oklahoma og det skotske miljøvernbyrået.
Allan Liska, ransomware-ekspert og medlem av teamet for datasikkerhetshendelse i Recorded Future, sa at mye av det som var i rådgivningen var velkjent i informasjonssikkerhetssamfunnet. Men han bemerket at eksperter ikke er målgruppen for rådgivningen.
“Det er mange sikkerhetsfolk som vil synes dette er veldig nyttig fordi verktøyene som brukes av Conti brukes av andre ransomware -grupper. For eksempel er rclone nevnt i rapporten. Jeg ser rclone som brukes av mange ransomware -grupper, men sjelden av legitime ansatte. av en organisasjon, så det kan være nyttig å lete etter rclone -hash på endepunkter, sier Liska.
“Jeg tror også at mange mennesker ikke visste at Conti har smittet organisasjoner gjennom telefonsamtaler. Det kan være en ny trusselmodell for mange organisasjoner og en som de må vurdere hvordan de skal forsvare seg mot. Samlet sett, mens det er ikke en banebrytende rapport, er det hyggelig å ha så mange av Contis TTP på et enkelt sted i stedet for å bla gjennom 15 forskjellige ZDNet -artikler for å finne dem. “
Sikkerhet
T -Mobilhack: Alt du trenger å vite Surfshark VPN -anmeldelse: Det er billig, men er det bra? De beste nettleserne for personvern Cybersikkerhet 101: Beskytt personvernet ditt Den beste antivirusprogramvaren og appene De beste VPN -ene for bedrifter og hjemmebruk De beste sikkerhetsnøklene for 2FA Truselen mot ransomware vokser: Hva må skje for å stoppe angrepene som blir verre? (ZDNet YouTube)
Relaterte emner:
Government – US Security TV Data Management CXO Data Centers 