CISA skickade i onsdags ut en rådgivning kring Conti -ransomware, med detaljerad information för cybersäkerhetssamhället om ransomware -gruppen och dess dotterbolag.
Både CISA och FBI sa att de har sett mer än 400 attacker som involverar Contis ransomware riktade mot amerikanska organisationer såväl som internationella företag. FBI har tidigare implicerat Conti i attacker mot minst 290 organisationer i USA. CISA erbjöd en teknisk uppdelning om hur ransomware -gruppens operatörer vanligtvis fungerar och vilka åtgärder organisationer kan vidta för att mildra potentiella attacker.
CISA noterade att Conti använder en modell för ransomware-as-a-service, men de gör det lite annorlunda än andra. I stället för att betala dotterbolag en minskning av intäkterna från lösen, betalar gruppen lönen för distributörerna av ransomware, enligt CISA.
Rob Joyce, chef för cybersäkerhet på NSA, sa att de cyberkriminella som nu driver Conti-ransomware-as-a-service historiskt sett har riktat sig till kritisk infrastruktur, till exempel Defence Industrial Base (DIB). Han tillade att de rådgivande höjdpunkterna organisationer kan vidta just nu för att motverka hotet.
“NSA arbetar nära våra partners, tillhandahåller kritisk intelligens och gör det möjligt för operationer att motverka ransomware -aktiviteter. Vi rekommenderar starkt att du använder de mildringar som beskrivs i detta råd för att skydda mot Conti -skadlig kod och minska din risk mot eventuell ransomware -attack”, säger Joyce.
På Twitter sa Joyce att Conti -attacker ökar och han uppmanade organisationer att använda MFA, segmentera sina nätverk och utforska med hjälp av ett patchhanteringssystem för att hålla nätverken uppdaterade.
CISA förklarade att Conti -aktörer vanligtvis använder en mängd olika metoder och verktyg för att infiltrera system, inklusive spearfiskekampanjer, fjärrövervaknings- och hanteringsprogram och fjärrskrivbordsprogramvara.
Spearphishing -kampanjerna som CISA såg använde skräddarsydda e -postmeddelanden som innehåller skadliga bilagor eller länkar.
Stulna eller svaga referenser för fjärrskrivbordsprotokoll (RDP), telefonsamtal, falsk programvara som marknadsförs via sökmotoroptimering, andra distributionsnätverk för skadlig kod som ZLoader och vanliga sårbarheter i externa tillgångar citerades alla som verktyg Conti -aktörer har använt under ransomware -attacker.
“Malicious Word -bilagor innehåller ofta inbäddade skript som kan användas för att ladda ner eller släppa annan skadlig kod – som TrickBot och IcedID och/eller Cobalt Strike – för att hjälpa till med sidorörelser och senare stadier av attackens livscykel med det slutliga målet för att distribuera Conti -ransomware ”, förklarade CISA.
“I utföringsfasen kör aktörerna en getuid nyttolast innan de använder en mer aggressiv nyttolast för att minska risken för att utlösa antivirusmotorer. CISA och FBI har observerat Conti -aktörer som använder Router Scan, ett penetrationstestverktyg, för att med skadlig skanning söka efter och brutala kraftrouter , kameror och nätverksanslutna lagringsenheter med webbgränssnitt. Dessutom använder aktörer Kerberos-attacker för att försöka få Admin-hash till att utföra brutala kraftattacker. ”
Operatörerna av Contis ransomware har också setts använda fjärrövervaknings- och hanteringsprogram samt fjärrskrivbordsprogramvara som bakdörrar för att upprätthålla uthållighet i offrens nätverk.
CISA förklarade att ibland ransomware-gruppen och dess dotterbolag använder verktyg som redan finns på ett offrens nätverk eller lägger till verktyg som Windows Sysinternals och Mimikatz för att “få användares hash och tydlig text, som gör det möjligt för aktörerna att eskalera privilegier inom en domän och utföra andra uppgifter efter exploatering och sidorörelse. “
TrickBot-skadlig programvara används också i vissa fall som ett sätt att utföra andra uppgifter efter exploatering.
Den rådgivande noterade att “artefakter från en nyligen läckt hotaktors” playbook “identifierar IP -adresser som Conti -aktörer har använt för sin skadliga aktivitet.” Spelboken visar också att Conti -operatörer syftar till att utnyttja sårbarheter i opatchade tillgångar som sårbarheterna för Microsoft Windows Server Message Block 1.0 -servern 2017, sårbarheten “PrintNightmare” och sårbarheten “Zerologon”.
“CISA och FBI har observerat Conti-aktörer som använder olika Cobalt Strike-serverns IP-adresser som är unika för olika offer. Conti-aktörer använder ofta Rclone-kommandoradsprogrammet med öppen källkod för dataexfiltrering”, säger rådgivaren.
“Efter att aktörerna har stulit och krypterat offrets känsliga data använder de en dubbel utpressningsteknik där de kräver att offret betalar lösen för att släppa de krypterade uppgifterna och hotar offret med offentliggörande av data om lösen inte betalas. “
Som Joyce sa, CISA, FBI och NSA föreslog organisationer att segmentera sina nätverk, filtrera trafik, söka efter sårbarheter och hålla sig uppdaterade med alla patchar. De tillade att onödiga applikationer och tillämpningskontroller bör tas bort, verktyg för slutpunkts- och detekteringssvar bör implementeras och åtkomsten bör begränsas mellan nätverk.
Conti gjorde sig ett namn efter att ha attackerat hundratals sjukvårdsinstitutioner- inklusive en försvagande ransomware-attack mot Irlands Health Service Executive den 14 maj- liksom skolor som University of Utah och andra regeringsorganisationer som stadsregeringen i Tulsa, Oklahoma och Scottish Environmental Protection Agency.
Allan Liska, ransomware-expert och medlem i datorsäkerhetsincidentens svarsteam på Recorded Future, sa att mycket av det som fanns i rådgivningen var välkänt inom informationssäkerhetssamhället. Men han noterade att experter inte är rådgivarens målgrupp.
“Det finns många säkerhetspersoner som kommer att tycka att detta är mycket användbart eftersom verktygen som används av Conti används av andra ransomware -grupper. Till exempel nämns rclone i rapporten. Jag ser rclone som används av många ransomware -grupper men sällan av legitima anställda av en organisation, så att leta efter rclone -hash på slutpunkter kan vara användbart, säger Liska.
“Jag tror också att många inte visste att Conti har smittat organisationer genom telefonsamtal. Det kan vara en ny hotmodell för många organisationer och en som de måste överväga hur de ska försvara sig mot. Överlag, medan det är inte en banbrytande rapport, det är trevligt att ha så många av Contis TTP på en enda plats i stället för att kamma igenom 15 olika ZDNet -artiklar för att hitta dem. “
Säkerhet
T -Mobilhack: Allt du behöver veta Surfshark VPN -recension: Det är billigt, men är det bra? De bästa webbläsarna för integritet Cybersäkerhet 101: Skydda din integritet De bästa antivirusprogrammen och apparna De bästa VPN -tjänsterna för företag och hemanvändning De bästa säkerhetsnycklarna för 2FA Ransomware -hotet växer: Vad måste hända för att stoppa attacker som blir värre? (ZDNet YouTube)
Relaterade ämnen:
Regeringen – USA: s säkerhets -TV -datahantering CXO -datacenter 