CISA frigiver rådgivning om Conti ransomware, noterer stigning i angreb efter mere end 400 hændelser

0
114

 Jonathan Greig

Af Jonathan Greig | 23. september 2021 | Emne: Sikkerhed

CISA sendte onsdag ud en rådgivning centreret omkring Conti ransomware, der leverede detaljerede oplysninger til cybersikkerhedssamfundet om ransomware -gruppen og dets partnere.

Både CISA og FBI sagde, at de har set mere end 400 angreb, der involverede Contis ransomware rettet mod amerikanske organisationer såvel som internationale virksomheder. FBI har tidligere impliceret Conti i angreb på mindst 290 organisationer i USA. CISA tilbød en teknisk oversigt over, hvordan ransomware -gruppens operatører typisk fungerer, og hvilke skridt organisationer kan tage for at afbøde potentielle angreb.

CISA bemærkede, at mens Conti driver en ransomware-as-a-service-model, gør de det lidt anderledes end andre. I stedet for at betale associerede virksomheder en nedskæring af den indtjening, der kommer fra løsesum, betaler gruppen en løn til distributørerne af ransomware, ifølge CISA.

Rob Joyce, direktør for cybersikkerhed hos NSA, sagde, at de cyberkriminelle, der nu driver Conti ransomware-as-a-service, historisk set har målrettet kritisk infrastruktur, såsom Defense Industrial Base (DIB). Han tilføjede, at den rådgivende fremhæver handlinger, organisationer kan tage lige nu for at imødegå truslen.

“NSA arbejder tæt sammen med vores partnere og leverer kritisk intelligens og gør det muligt for operationer at modvirke ransomware -aktiviteter. Vi anbefaler stærkt at bruge de afbødelser, der er beskrevet i denne vejledning, for at beskytte mod Conti -malware og reducere din risiko mod ethvert ransomware -angreb,” sagde Joyce.

På Twitter sagde Joyce, at Conti -angreb stiger, og han opfordrede organisationer til at bruge MFA, segmentere deres netværk og udforske ved hjælp af et patch management -system for at holde netværk opdaterede.

CISA forklarede, at Conti -aktører typisk bruger en række forskellige metoder og værktøjer til at infiltrere systemer, herunder spearphishing -kampagner, fjernovervågnings- og styringssoftware og remote desktop -software.

Spearphishing -kampagnerne set af CISA brugte skræddersyede e -mails, der indeholder ondsindet vedhæftede filer eller links.

Stolen eller svag legitimationsoplysninger om Remote Desktop Protocol (RDP), telefonopkald, falsk software, der fremmes via søgemaskineoptimering, andre malware -distributionsnetværk som ZLoader og almindelige sårbarheder i eksterne aktiver blev alle nævnt som værktøjer, Conti -aktører har brugt under ransomware -angreb.

“Malicious Word -vedhæftede filer indeholder ofte integrerede scripts, der kan bruges til at downloade eller slippe anden malware – såsom TrickBot og IcedID og/eller Cobalt Strike – for at hjælpe med lateral bevægelse og senere stadier af angrebets livscyklus med det endelige mål om implementering af Conti ransomware, “forklarede CISA.

“I udførelsesfasen kører aktører en getuid nyttelast, før de anvender en mere aggressiv nyttelast for at reducere risikoen for at udløse antivirusmotorer. CISA og FBI har observeret Conti -aktører ved hjælp af Router Scan, et penetrationstestværktøj, til ondsindet at scanne efter og brute force routere , kameraer og netværksforbundne lagerenheder med webgrænseflader. Derudover bruger aktører Kerberos-angreb til at forsøge at få Admin-hash'en til at udføre brute force-angreb. ”

Operatørerne af Contis ransomware er også blevet set ved hjælp af fjernovervågnings- og styringssoftware samt fjernskrivebordssoftware som bagdøre for at opretholde vedholdenhed i et offerets netværk.

CISA forklarede, at nogle gange bruger ransomware-gruppen og dets tilknyttede virksomheder værktøjer, der allerede er på et offerets netværk, eller tilføjer værktøjer som Windows Sysinternals og Mimikatz til at “opnå brugeres hash og klar tekst-legitimationsoplysninger, som gør det muligt for aktørerne at eskalere privilegier inden for et domæne og udføre andre opgaver efter udnyttelse og laterale bevægelser. “

TrickBot-malware bruges også i nogle tilfælde som en måde at udføre andre opgaver efter udnyttelse på.

Den rådgivende bemærkede, at “artefakter fra en nyligt lækket trusselsaktors 'playbook' identificerer IP -adresser, som Conti -aktører har brugt til deres ondsindede aktivitet.” Playbook viser også, at Conti -operatører sigter mod at udnytte sårbarheder i ikke -rettede aktiver, f.eks. 2017 Microsoft Windows Server Message Message Block 1.0 -server -sårbarheder, “PrintNightmare” -sårbarheden og “Zerologon” -sårbarheden.

“CISA og FBI har observeret Conti-aktører, der bruger forskellige Cobalt Strike-serverens IP-adresser, der er unikke for forskellige ofre. Conti-aktører bruger ofte Rclone-kommandolinjeprogrammet med open source til dataeksfiltrering,” sagde den rådgivende.

“Efter at aktørerne har stjålet og krypteret offerets følsomme data, anvender de en dobbelt afpresningsteknik, hvor de kræver, at offeret betaler en løsesum for frigivelse af de krypterede data og truer offeret med offentlig frigivelse af data, hvis løsesummen ikke er betalt. “

Som Joyce sagde, foreslog CISA, FBI og NSA, at organisationer segmenterer deres netværk, filtrerer trafik, scanner efter sårbarheder og holder sig ajour med alle patches. De tilføjede, at unødvendige applikationer og anvendelseskontroller bør fjernes, slutpunkts- og detektionsresponsværktøjer bør implementeres, og adgangen bør begrænses på tværs af netværk.

Conti gjorde sig bemærket efter at have angrebet hundredvis af sundhedsinstitutioner- herunder et invaliderende ransomware-angreb på Irlands Health Service Executive den 14. maj- samt skoler som University of Utah og andre regeringsorganisationer som bystyret i Tulsa, Oklahoma og det skotske miljøbeskyttelsesagentur.

Allan Liska, ransomware-ekspert og medlem af edb-sikkerhedshændelsesteamet i Recorded Future, sagde, at meget af det, der var i rådgivningen, var velkendt i informationssikkerhedssamfundet. Men han bemærkede, at eksperter ikke er målgruppen for den rådgivende.

“Der er mange sikkerhedsfolk, der vil finde dette meget nyttigt, fordi de værktøjer, der bruges af Conti, bruges af andre ransomware -grupper. F.eks. Nævnes rclone i rapporten. Jeg ser rclone brugt af mange ransomware -grupper, men sjældent af legitime medarbejdere af en organisation, så det kan være nyttigt at lede efter rclone -hash på slutpunkter, “sagde Liska.

“Jeg tror også, at mange mennesker ikke vidste, at Conti har smittet organisationer gennem telefonopkald. Det kan være en ny trusselmodel for mange organisationer, og en, som de skal overveje, hvordan de skal forsvare sig mod. Samlet set, mens det er ikke en banebrydende rapport, er det rart at have så mange af Contis TTP på et enkelt sted frem for at gennemse 15 forskellige ZDNet -artikler for at finde dem. “

Sikkerhed

T -Mobile hack: Alt hvad du behøver at vide Surfshark VPN anmeldelse: Det er billigt, men er det godt? De bedste browsere til beskyttelse af fortrolige oplysninger Cybersikkerhed 101: Beskyt dit privatliv Den bedste antivirussoftware og apps De bedste VPN'er til erhverv og hjemmebrug De bedste sikkerhedsnøgler til 2FA Ransomware -truslen vokser: Hvad skal der ske for at forhindre, at angreb bliver værre? (ZDNet YouTube)

Relaterede emner:

Government – US Security TV Data Management CXO Data Centers  Jonathan Greig

Af Jonathan Greig | 23. september 2021 | Emne: Sikkerhed