Conti勒索软件在2019年底首次出现,并逐渐发展成为主要的勒索软件即服务(RaaS)运营商之一。据悉它与Ryuk勒索软件有一些联系,Ryuk软件由名为Wizard Spider的网络犯罪组织运营。美国国土安全部网络安全和基础设施安全局(CISA)和美国联邦调查局(FBI)在最近发布的一次警报中表示,他们观察到在针对美国和国际组织的400多次网络攻击中使用了Conti勒索软件。根据网络犯罪情报机构Recorded Future公司的调查,Conti是造成2021年9月受害者数量第二多的勒索软件,仅次于LockBit。
Conti的运作方式也与其他RaaS团伙略有不同。大多数网络攻击团伙与称为附属机构的合作伙伴合作以危害受害者,并部署勒索软件程序以支付一定比例的赎金,但据悉Conti向其开发者支付月薪。
Conti如何获得初始网络访问权限
使用Conti的网络攻击者采用多种方法来获取对企业网络的访问权限,包括从已经拥有此类访问权限的其他团体(即所谓的网络访问代理)那里购买访问权限。与Ryuk一样,Conti勒索软件也使用TrickBot恶意软件以及IcedID等其他木马进行访问。这些木马程序通常通过包含恶意链接或Microsoft Word附件的鱼叉式网络钓鱼电子邮件进行分发。
被盗或弱远程桌面协议(RDP)凭据也是Conti和所有勒索软件团伙进入网络的常见方法。美国国土安全部网络安全和基础设施安全局(CISA)和美国联邦调查局(FBI)的公告还提到,通过搜索引擎优化、恶意软件分发网络(如ZLoader)以及利用外部IT资产中的漏洞推广的虚假软件是Conti勒索软件团伙获得访问权限的其他常见方法。在Sophos公司调查的导致Conti部署的入侵事件中,该公司发现运行易受攻击固件的FortiGate防火墙设备受到攻击。
Conti如何横向移动
一旦进入一家企业的网络,黑客就会使用一系列工具来映射网络并扩大他们的访问范围。研究人员已经看到了Cobalt Strike攻击框架和名为Router Scan的渗透测试工具的使用,该工具可以扫描和暴力破解路由器、摄像头和网络连接存储设备的Web管理凭据。
网络攻击者还发起Kerberos攻击,目的是获取管理员哈希值并进行暴力攻击。包括Conti在内的许多团体都使用诸如Windows Sysinternal或Mimikatz之类的通用工具来获取用户哈希和明文凭据,从而在域内实现权限提升和横向移动。
还观察到Conti附属公司利用网络内众所周知的Windows漏洞,如Windows打印后台处理程序服务中的SMB服务器(包括EternalBlue)、PrintMonamine(CVE-2021-34527)或Microsoft Active Directory域控制器系统中的Zerologon(CVE-2020-1472)。
Conti如何加密文件和删除备份
Conti团伙并不直接部署勒索软件,而是依赖更轻量级的加载程序,可以逃避防病毒检测。该组织使用Cobalt Strike和Meterpreter(Metasploit)木马程序,以及名为getuid的加载程序将勒索软件直接注入内存。
Sophos公司的研究人员在今年早些时候的一项分析中说,“由于反射加载程序将勒索软件有效载荷传送到内存中,不会将勒索软件二进制文件写入受感染计算机的文件系统,因此网络攻击者消除了影响大多数其他勒索软件系列的关键致命弱点:即使是经验丰富的恶意软件分析师也无法发现漏洞。”
该勒索软件还通过使用哈希值而不是API函数并在其上添加另一层加密来混淆其字符串和Windows API调用。所有这些都是为了使安全程序的自动检测和人工逆向工程变得困难。
Conti勒索软件的另一个有趣方面是它支持命令行执行参数,这些参数指示它加密本地磁盘、特定网络共享甚至文件中定义的网络共享列表。VMware公司的研究人员在分析中说:“这种能力的显著影响是它可以在环境中造成有针对性的破坏,这种方法可能会阻碍事件响应活动。成功的攻击可能造成的破坏仅限于没有互联网功能的服务器,但在环境中的其他地方没有类似破坏的证据。这也具有降低勒索软件总体‘噪音’的效果,数百个系统立即开始显示感染迹象的攻击。与其相反,一旦用户访问数据,加密甚至可能在数天或数周后都不会被注意到。”
Conti使用AES-256算法通过在勒索软件程序中硬编码的公钥来加密文件。这意味着每个二进制文件都是为每个受害者专门制作的,以确保受害者拥有唯一的密钥对。它还允许程序加密文件,即使它无法联系命令和控制服务器。
Conti勒索软件攻击团伙还投入了大量精力来使恢复工作复杂化。该勒索软件首先禁用和删除Windows卷影副本,然后还会迭代大约160个命令以禁用各种Windows系统服务,包括一些与第三方备份解决方案相关的服务,包括Acronis VSS Provider、企业客户端服务、SQL安全备份服务、SQL安全过滤服务、Veeam备份目录数据服务和Acronis Agent。
双重勒索的数据泄露
根据安全服务商AdvIntel公司的一份报告,Conti不仅删除备份,还利用备份服务来窃取数据,以便他们以后可以用数据泄露威胁受害者。AdvIntel公司的研究人员说,“Conti寻找Veeam特权用户和服务,并利用访问、泄露、删除和加密备份来确保勒索软件漏洞无法备份。通过这种方式,Conti同时泄露了数据以进一步勒索受害者,同时在删除备份后,受害者没有机会快速恢复其文件。”
还观察到Conti攻击者经常使用Rclone开源实用程序将企业数据上传到Mega等基于云的文件托管服务。
与当今大多数勒索软件组织一样,Conti维护着一个数据泄露网站,在该网站上发布有关新受害者的信息。该组织最近对其与受害者的赎金谈判谈话被泄露给媒体的事实感到恼火。发生这种情况是因为此类协商是通过网络攻击者建立的特定于受害者的“支付站点”进行的,这些站点通常包含在留给受害者的赎金票据中。如果将赎金记录上传到Virus Total等服务,恶意软件研究人员就可以找到支付站点并可能看到受害者与该组织之间的交流。
该团伙在最近的一篇博客文章中威胁说,如果谈判内容被泄露,他们将发布与其谈判的任何受害者的数据。这发生在该团伙入侵日本电子制造商JVCKenwood公司之后。该组织写道,“例如昨天,我们发现一周前与JVCKenwood的聊天泄露给媒体。”Conti在文章中表示,其谈判是按照正常的商业运作进行的。但是,由于媒体发布的消息是在谈判中途进行的,导致决定终止谈判并发布数据。JVCKenwood公司已经得到通知。此外,我们在本周再次发现了在社交媒体上传播的谈判内容截图。”
此外,该组织警告说,如果在支付赎金和删除受害者档案之后,其谈判内容被泄露,它将以集体惩罚的形式公布从另一名受害者那里窃取的数据。
如何缓解Conti攻击
美国国土安全部网络安全和基础设施安全局(CISA)和美国联邦调查局(FBI)联合公告了包含一般勒索软件缓解建议和其他资源,包括对帐户使用多因素身份验证、实施网络分段和流量过滤、扫描软件漏洞和保持软件产品最新、删除不必要的应用程序和应用软件执行限制和控制,限制远程访问(例如RDP)并限制对网络资源的访问,审核和限制管理帐户的使用以及实施端点和检测响应工具。
该公告还包含指向Conti妥协指标(IOC)列表的链接,该团伙使用的技术和程序在MITREATT&CK框架中进行了描述。