网路安全厂商Sophos今天发表《Conti勒索软体的现况》三部曲系列文章。Sophos研究人员和事件回应团队揭露了攻击者入侵企业网路以窃取资料,并发动Conti勒索软体攻击时的真实情况。
Conti是一个人为操作的「双重勒索」型勒索软体。在加密资料之前,攻击者会先从目标窃取资料,接着扬言如果受害组织不支付赎金,就在一个名为Conti News网站上公布其被窃取的资讯。
Sophos的全天候事件回应团队Sophos Rapid Response接受客户请求,着手遏阻、消除威胁和调查这一起事件,该事件从最初被入侵到回复正常运作历时了五天。这一系列Sophos文章重构了这一起连续展开的攻击,并提供Conti攻击行为的技术资讯以及对安全团队的建议。
《Conti勒索软体的现况》三部曲系列文章分析了Conti攻击,包括入侵指标(IoC)以及策略、技术和程序(TTP);并提供SophosLabs研究人员的技术概论,以及一份提供给受Conti攻击影响的IT管理员的基本指南,其中包含应该立即采取的措施,以及一份如何因应的12点建议清单,以协助调查攻击。这份清单能使IT管理员了解Conti攻击者在网路上可能采取的动作,以及他们可能使用的主要策略、技术和流程,还提供了建议采取的行动。
Sophos Rapid Response主管Peter Mackenzie表示:「在人为控制的攻击中,对手可以即时做出调整并做出回应。在这种情况下,攻击者同时取得两台伺服器的使用权限。因此,当目标发现受到攻击并停用其中一台伺服器 (并认为他们已经即时阻挡了攻击),攻击者只需切换并继续使用第二台伺服器进行攻击即可。人为主导攻击时经常会准备『B计画』,所以值得提醒的是,虽然网路上的某些可疑活动已经停止,并不代表攻击就已经结束。」
这个Conti News网站迄今已经公布了至少180名受害者失窃的资料。Sophos根据Conti News上发布的资料建立了一个受害者概况(涵盖了约150个在分析时已经被公布资料的组织)。
Mackenzie补充:「在没有专属IT安全团队的公司中,最容易直接受到勒索软体攻击的人就是IT系统管理员。他们是每天早上上班,发现所有东西都被锁定,然後萤幕上被留下威胁性的勒索信的人,有时甚至还会接到恐吓电子邮件或电话。」
「我们根据第一手威胁搜寻经验制定了一个行动清单。该清单能协助IT系统管理员在遭到Conti勒索软体攻击後,安然度过最初几个小时和前几天深具挑战性和压力的工作,让他们了解可以如何取得协助并为将来奠定更安全的基础。」Mackenzie说道。
给安全团队的即时建议
.关闭服务网际网路的远端桌面协定(RDP),以防止网路犯罪分子使用网路
.如果需要使用RDP,请先上VPN连线再用RDP
.使用多层式安全性来预防、防护和侦测网路攻击,包括端点侦测和回应(EDR)功能以及可以全天候监控网路的托管型回应团队
.留意攻击者存在的五个早期指标,以防止勒索软体攻击
.制定有效的事件回应计画,并根据需要进行更新。如果不确定自己是否有足够的技能或资源来监控威胁或回应紧急事件,请考虑寻求外部专家的帮助