CISA stuurde woensdag een advies rond de Conti-ransomware, met gedetailleerde informatie voor de cyberbeveiligingsgemeenschap over de ransomware-groep en zijn gelieerde ondernemingen.
Zowel CISA als de FBI zeiden dat ze meer dan 400 aanvallen hebben gezien waarbij Conti's ransomware betrokken was, zowel gericht op Amerikaanse organisaties als op internationale ondernemingen. De FBI heeft Conti eerder betrokken bij aanvallen op minstens 290 organisaties in de VS. CISA bood een technisch overzicht van hoe de operators van de ransomware-groep doorgaans functioneren en welke stappen organisaties kunnen nemen om potentiële aanvallen te beperken.
CISA merkte op dat, hoewel Conti een ransomware-as-a-service-model hanteert, ze dit een beetje anders doen dan anderen. In plaats van gelieerde ondernemingen een deel van de inkomsten uit losgeld te betalen, betaalt de groep de exploitanten van de ransomware een loon, aldus CISA.
Rob Joyce, directeur cyberbeveiliging bij NSA, zei dat de cybercriminelen die nu de Conti ransomware-as-a-service gebruiken, zich in het verleden hebben gericht op kritieke infrastructuur, zoals de Defense Industrial Base (DIB). Hij voegde eraan toe dat het advies de acties benadrukt die organisaties nu kunnen nemen om de dreiging tegen te gaan.
“NSA werkt nauw samen met onze partners en levert kritische informatie en maakt het mogelijk om ransomware-activiteiten tegen te gaan. We raden ten zeerste aan om de maatregelen die in dit advies worden beschreven te gebruiken om u te beschermen tegen Conti-malware en uw risico tegen ransomware-aanvallen te verkleinen”, aldus Joyce.
Op Twitter zei Joyce dat Conti-aanvallen toenemen en hij drong er bij organisaties op aan om MFA te gebruiken, hun netwerken te segmenteren en een patchbeheersysteem te gebruiken om netwerken up-to-date te houden.
CISA legde uit dat Conti-actoren doorgaans verschillende methoden en tools gebruiken om systemen te infiltreren, waaronder spearphishing-campagnes, software voor monitoring en beheer op afstand en remote desktop-software.
De spearphishing-campagnes die CISA zag, maakten gebruik van op maat gemaakte e-mails die kwaadaardige bevatten. bijlagen of links.
Gestolen of zwakke Remote Desktop Protocol (RDP)-referenties, telefoontjes, valse software gepromoot via zoekmachineoptimalisatie, andere malwaredistributienetwerken zoals ZLoader en veelvoorkomende kwetsbaarheden in externe activa werden allemaal genoemd als tools die Conti-actoren hebben gebruikt tijdens ransomware-aanvallen.
“Kwaadaardige Word-bijlagen bevatten vaak ingebedde scripts die kunnen worden gebruikt om andere malware te downloaden of te laten vallen – zoals TrickBot en IcedID en/of Cobalt Strike – om te helpen bij zijwaartse bewegingen en latere stadia van de levenscyclus van de aanval met het uiteindelijke doel van het inzetten van Conti-ransomware”, legt CISA uit.
“In de uitvoeringsfase voeren actoren een getuide payload uit voordat ze een agressievere payload gebruiken om het risico op het activeren van antivirus-engines te verminderen. CISA en FBI hebben Conti-actoren waargenomen die Router Scan, een penetratietesttool, gebruiken om kwaadwillig te scannen op en brute force-routers , camera's en op het netwerk aangesloten opslagapparaten met webinterfaces. Bovendien gebruiken acteurs Kerberos-aanvallen om te proberen de beheerdershash brute force-aanvallen uit te voeren.”
De exploitanten van Conti's ransomware zijn ook gezien met het gebruik van software voor bewaking en beheer op afstand, evenals externe desktopsoftware als achterdeurtjes om de persistentie in het netwerk van een slachtoffer te behouden.
CISA legde uit dat de ransomware-groep en zijn gelieerde ondernemingen soms tools gebruiken die al op het netwerk van een slachtoffer staan, of tools zoals Windows Sysinternals en Mimikatz toevoegen om “hashes en inloggegevens van gebruikers te verkrijgen, waardoor de actoren privileges binnen een domein kunnen escaleren en andere post-exploitatie- en zijwaartse bewegingstaken uitvoeren.”
De TrickBot-malware wordt in sommige gevallen ook gebruikt als een manier om andere post-exploitatietaken uit te voeren.
Het advies merkte op dat “artefacten uit een recent gelekt 'playbook' van bedreigingsacteurs IP-adressen identificeren die Conti-actoren hebben gebruikt voor hun kwaadaardige activiteiten.” Het playbook laat ook zien dat Conti-operators kwetsbaarheden in niet-gepatchte activa willen misbruiken, zoals de 2017 Microsoft Windows Server Message Block 1.0-serverkwetsbaarheden, de “PrintNightmare”-kwetsbaarheid en de “Zerologon”-kwetsbaarheid.
“CISA en FBI hebben Conti-actoren waargenomen die verschillende Cobalt Strike-server-IP-adressen gebruiken die uniek zijn voor verschillende slachtoffers. Conti-actoren gebruiken vaak het open-source Rclone-opdrachtregelprogramma voor gegevensexfiltratie”, aldus het advies.
“Nadat de acteurs de gevoelige gegevens van het slachtoffer hebben gestolen en versleuteld, passen ze een dubbele afpersingstechniek toe waarbij ze van het slachtoffer losgeld eisen voor het vrijgeven van de versleutelde gegevens en het slachtoffer bedreigen met openbare vrijgave van de gegevens. gegevens als het losgeld niet wordt betaald.”
Zoals Joyce al zei, stelden CISA, de FBI en de NSA voor dat organisaties hun netwerken segmenteren, verkeer filteren, scannen op kwetsbaarheden en up-to-date blijven met alle patches. Ze voegden eraan toe dat onnodige applicaties en controles moeten worden verwijderd, endpoint- en detectieresponstools moeten worden geïmplementeerd en dat de toegang via netwerken moet worden beperkt.
Conti maakte naam door honderden zorginstellingen aan te vallen – waaronder een slopende ransomware-aanval op de Ierse Health Service Executive op 14 mei – evenals scholen zoals de Universiteit van Utah en andere overheidsorganisaties zoals het stadsbestuur van Tulsa, Oklahoma en de Scottish Environment Protection Agency.
Allan Liska, ransomware-expert en lid van het computerbeveiligingsincidentresponsteam bij Recorded Future, zei dat veel van wat in het advies stond bekend was in de informatiebeveiligingsgemeenschap. Maar hij merkte op dat experts niet de doelgroep van het advies zijn.
“Er zijn veel beveiligingsmensen die dit erg handig zullen vinden omdat de tools die door Conti worden gebruikt door andere ransomware-groepen worden gebruikt. Zo wordt rclone genoemd in het rapport. Ik zie dat rclone door veel ransomware-groepen wordt gebruikt, maar zelden door legitieme werknemers van een organisatie, dus het kan nuttig zijn om naar rclone-hashes op eindpunten te zoeken,” zei Liska.
“Ik denk ook dat veel mensen niet wisten dat Conti organisaties via telefoontjes heeft besmet. Dat kan voor veel organisaties een nieuw dreigingsmodel zijn en een waar ze moeten nadenken over hoe ze zich ertegen moeten verdedigen. geen baanbrekend rapport, het is fijn om zoveel van Conti's TTP op één locatie te hebben in plaats van 15 verschillende ZDNet-artikelen te moeten doorzoeken om ze te vinden.”
Beveiliging
T -Mobiele hack: alles wat je moet weten Surfshark VPN review: het is goedkoop, maar is het ook goed? De beste browsers voor privacy Cyberbeveiliging 101: bescherm uw privacy De beste antivirussoftware en apps De beste VPN's voor zakelijk en thuisgebruik De beste beveiligingssleutels voor 2FA De ransomware-dreiging groeit: wat moet er gebeuren om te voorkomen dat aanvallen erger worden? (ZDNet YouTube)
Aanverwante onderwerpen:
Overheid – VS Security TV Data Management CXO Datacenters 