Sophos揭露Conti勒索軟體連續五天的攻擊過程

Sophos是新一代網路安全的全球領導者，今天發表《Conti勒索軟體的現況》三部曲系列文章。Sophos研究人員和事件回應團隊揭露了攻擊者入侵企業網路以竊取資料，並發動Conti勒索軟體攻擊時的真實情況。

Conti是一個人為操作的「雙重勒索」型勒索軟體。在加密資料之前，攻擊者會先從目標竊取資料，接著揚言如果受害組織不支付贖金，就在一個名為 “Conti News”網站上公布其被竊取的資訊。

Sophos的全天候事件回應團隊Sophos Rapid Response接受客戶請求，著手遏阻、消除威脅和調查這一起事件，該事件從最初被入侵到回復正常運作歷時了五天。這一系列Sophos文章重構了這一起連續展開的攻擊，並提供Conti攻擊行為的技術資訊以及對安全團隊的建議。

這份《Conti 勒索軟體的現況》三部曲系列文章包括：

• Conti勒索軟體攻擊每日發展–分析Conti攻擊，包括入侵指標 (IoC) 以及策略、技術和程序 (TTP)。
• Conti勒索軟體：與生俱來的躲避能力 – 來自SophosLabs研究人員的技術概論。
• 被Conti勒索軟體攻擊會發生什麼事 – 一份提供給受Conti攻擊影響的IT管理員的基本指南，其中包含應該立即採取的措施，以及一份如何因應的 12 點建議清單，以協助調查攻擊。這份清單能使IT管理員了解Conti攻擊者在網路上可能採取的動作，以及他們可能使用的主要策略、技術和流程。本文中還提供了建議採取的行動。

Sophos Rapid Response主管Peter Mackenzie表示：「在人為控制的攻擊中，對手可以即時做出調整並做出回應。在這種情況下，攻擊者同時取得兩台伺服器的使用權限。因此，當目標發現受到攻擊並停用其中一台伺服器 (並認為他們已經即時阻擋了攻擊)，攻擊者只需切換並繼續​​使用第二台伺服器進行攻擊即可。人為主導攻擊時經常會準備『B 計畫』，所以值得提醒的是，雖然網路上的某些可疑活動已經停止，並不代表攻擊就已經結束。」

這個「Conti News」網站迄今已經公布了至少 180 名受害者失竊的資料。Sophos根據Conti News上發布的資料建立了一個受害者概況 (涵蓋了約 150 個在分析時已經被公布資料的組織)。

Mackenzie補充表示：「在沒有專屬IT安全團隊的公司中，最容易直接受到勒索軟體攻擊的人就是IT系統管理員。他們是每天早上上班，發現所有東西都被鎖定，然後螢幕上被留下威脅性的勒索信的人，有時甚至還會接到恐嚇電子郵件或電話。我們根據第一手威脅搜尋經驗制定了一個行動清單。該清單能協助 IT 系統管理員在遭到Conti勒索軟體攻擊後，安然度過最初幾個小時和前幾天深具挑戰性和壓力的工作，讓他們了解可以如何取得協助並為將來奠定更安全的基礎。」

給安全團隊的即時建議

• 關閉服務網際網路的遠端桌面協定 (RDP)，以防止網路犯罪分子使用網路
• 如果您需要使用RDP，請先上VPN連線再用RDP
• 使用多層式安全性來預防、防護和偵測網路攻擊，包括端點偵測和回應 (EDR) 功能以及可以全天候監控網路的託管型回應團隊
• 留意攻擊者存在的五個早期指標，以防止勒索軟體攻擊
• 制定有效的事件回應計畫，並根據需要進行更新。如果您不確定自己是否有足夠的技能或資源來監控威脅或回應緊急事件，請考慮尋求外部專家的幫助

Sophos 安全產品可阻止Conti勒索軟體及其相關檔案。