PaloAltoNetworks的研究人员表示:“通常,更成功的勒索软件运营商会投入大量精力来构建和维护一些‘完整性’的表象,作为方便受害者支付赎金的方式。他们希望在“客户服务”和兑现承诺方面树立良好声誉——如果受害者支付赎金,他们的文件将被解密(并且不要将它们放在泄露网站上)。但根据我们帮助客户保护和补救这些网络攻击的经验,Conti勒索软件没有任何迹象表明它关心其在潜在受害者中的声誉。“Conti勒索软件于2019年底首次出现,并逐渐成长为主要的勒索软件即服务(RaaS)运营商之一。众所周知,它与Ryuk勒索软件有一些联系,该勒索软件由名为Wizard的网络犯罪集团运营Spider.在最近的警报中,美国国土安全部网络安全和基础设施安全局(CISA)和美国联邦调查局(FBI)表示,他们观察到在针对美国和国际组织的400多起网络攻击中使用了Conti。.根据网络犯罪情报机构RecordedFuture的数据,Conti是仅次于LockBit的2021年9月受害者人数第二多的勒索软件。Conti的运作方式也与其他RaaS团伙略有不同。大多数网络攻击团伙与称为附属公司的合作伙伴合作以妥协受害者并部署支付一定比例赎金的勒索软件程序,但众所周知,Conti会向其开发人员支付月薪。Conti是如何获利的初始网络访问使用Conti的网络攻击者采用多种方法获得对公司网络的访问权限,包括从已经拥有此类访问权限的其他方购买访问权限,即所谓的网络访问代理。与Ryuk一样,Conti勒索软件也使用TrickBot恶意软件以及IcedID等其他木马程序进行访问。这些木马通常通过包含恶意链接或MicrosoftWord附件的鱼叉式网络钓鱼电子邮件进行分发。被盗或弱远程桌面协议(RDP)凭据也是Conti和所有勒索软件团伙获取网络访问权限的常用方法。美国国土安全部网络安全和基础设施安全局(CISA)和美国联邦调查局(FBI)的公告也提到通过搜索引擎优化、ZLoader等恶意软件分发网络以及利用外部IT漏洞来推广恶意软件资产。假冒软件是Conti勒索软件团伙用来获取访问权限的另一种常用方法。在Sophos调查导致部署Conti的入侵中,该公司发现运行易受攻击固件的FortiGate防火墙设备遭到破坏。Conti如何横向移动一旦进入企业网络,黑客就会使用一系列工具来映射网络并扩展他们的访问权限。研究人员已经看到了CobaltStrike攻击框架和称为路由器扫描的渗透测试工具的使用,该工具扫描并暴力破解路由器、摄像头和网络附加存储设备的Web管理凭据。网络攻击者还发起Kerberos攻击,目的是获取管理员哈希并执行暴力攻击。包括Conti在内的许多组织使用WindowsSysinternal或Mimikatz等常用工具来获取用户哈希和明文凭据,以实现权限提升和域内的横向移动。Conti附属公司还被发现利用网络中众所周知的Windows漏洞,例如WindowsPrintSpooler服务中的SMB服务器(包括EternalBlue)、PrintMonamine(CVE-2021-34527)或MicrosoftActiveDirectory域控制器系统中的Zerologon(CVE-2020-1472)。Conti如何加密文件和删除备份Conti团伙没有直接部署勒索软件,而是依靠可以逃避防病毒检测的轻量级加载程序。该组织使用CobaltStrike和Meterpreter(Metasploit)木马,以及名为getuid的加载器将勒索软件直接注入内存。“由于反射加载器将勒索软件有效载荷传送到内存中,并且不会将勒索软件二进制文件写入受感染计算机的文件系统,因此网络攻击者消除了影响大多数其他勒索软件家族的关键致命弱点:漏洞超出了即使是经验丰富的恶意软件分析师也能接触到。”该勒索软件还通过使用哈希代替API函数并添加另一层加密来混淆其字符串和WindowsAPI调用来实现这一点。所有这些都是为了让安全程序的自动检测和手动逆向工程变得困难。Conti勒索软件的另一个有趣方面是它支持命令行执行参数,指示它加密本地磁盘、特定网络共享甚至文件中定义的网络共享列表。VMware研究人员在他们的分析中说:“这种能力的显着影响是它可以在环境中造成有针对性的破坏,这种方法可能会阻碍事件响应活动。”成功攻击的潜在损害仅限于那些没有启用Internet的服务器,但没有证据表明环境中其他地方存在类似的破坏。这也具有降低勒索软件整体“噪音”的效果,数百个系统立即开始显示出感染迹象。相反,一旦用户访问数据,几天或几周后甚至可能不会注意到加密。”Conti使用AES-256算法使用勒索软件程序中硬编码的公钥加密文件。这意味着每个二进制文件都是专门为每个受害者,确保受害者有一个唯一的密钥对。它还允许程序加密文件,即使它无法联系命令和控制服务器。Conti勒索软件团伙也付出了很多努力使恢复工作复杂化。勒索软件首先禁用和删除WindowsVolumeShadowCopies,然后迭代大约160个命令来禁用各种Windows系统服务,包括一些与第三方备份解决方案相关的服务,包括AcronisVSSProvider、EnterpriseClientService、SQLSecurityBackupService、SQLSecurityFilterService、VeeamBackupCatalogDataService和AcronisAgent。双重勒索数据泄露根据安全服务提供商AdvIntel的报告,Contin不仅删除备份,而且还使用备份服务窃取数据,以便他们以后可以通过数据泄露威胁受害者。“Conti寻找Veeam特权用户和服务,并使用访问、渗漏、删除和加密备份来确保无法备份勒索软件攻击。通过这种方式,Conti同时渗漏数据以进一步勒索受害者,”AdvIntel研究人员表示.此外,在备份被删除后,受害者没有机会快速恢复他们的文件。”还观察到Conti攻击者经常使用Rclone开源实用程序将公司数据上传到基于云的文件托管服务,例如Mega。像大多数勒索软件一样今天,Conti维护着一个数据泄露网站,在该网站上发布有关新受害者的信息。该组织最近对其与受害者的赎金谈判对话被泄露给媒体这一事实感到恼火。发生这种情况是因为此类谈判是通过网络攻击者设置的特定于受害者的“支付站点”进行的,这些站点通常包含在留给受害者的赎金票据中。如果将赎金票据上传到VirusTotal等服务,恶意软件研究人员就可以找到付款站点,并可能看到受害者与该组织之间的通信。在最近的一篇博客文章中,该团伙威胁说,如果谈判被泄露,他们将公布与他们谈判的任何受害者的数据。这发生在该团伙入侵日本电子产品制造商JVKenwood之后。“例如,昨天,我们发现一周前与JVKenwood的一次谈话被泄露给了媒体,”该组织写道。康帝在文中表示,其谈判是按照正常的商业运作进行的。但媒体放出的消息是谈判进行到一半,导致双方决定终止谈判,公布数据。JVKenwood已收到通知。此外,我们发现本周再次在社交媒体上流传的会谈截图。此外,该组织警告说,如果在支付赎金和删除受害者档案后谈判内容被泄露,作为集体惩罚的一种形式,它将公布从另一名受害者那里窃取的数据。如何缓解Conti对美国国土的攻击美国安全部网络安全和基础设施安全局(CISA)和联邦调查局(FBI)联合发布了一份咨询,其中包含一般勒索软件缓解建议和其他资源,包括对帐户使用多因素身份验证,实施网络分段和流量过滤,扫描软件漏洞并保持软件产品为最新,删除不必要的应用程序和应用软件实施限制和控制,限制远程访问(如RDP)和限制对网络资源的访问,审计和限制管理帐户的使用,并强制执行端点和检测响应工具。该公告还包含指向MITREATT&CK框架中描述的该组织使用的Conti妥协指标(IOC)、技术和程序列表的链接。
