根據 Sophos 威脅研究人員的說法,由於以勒索軟體即服務 (RaaS) 模式運作的 DarkSide、REvil 和 Avaddon 等三個集團解散,Conti 勒索軟體目前又非常活躍了。那些集團已經被解散的相關組織正在尋找新的營運者,Sophos 懷疑是 Conti,因為 Sophos 威脅研究人員最近看到它的大量活動。目前另一個值得「高度警戒」威脅是 ProxyShell,一種進化版的 ProxyLogon 攻擊。ProxyShell 很容易被利用,亦是當前攻擊者劇本中的要角,包括那些部署 LockFile 勒索軟體的劇本。 現在,Conti 加入戰局了。 Sophos 事件回應主管 Peter Mackenzie 表示:「Sophos 已確認 Conti 勒索軟體攻擊者正在利用 ProxyShell。在 Sophos 文章《Conti 相關組織在勒索軟體攻擊中利用 Microsoft Exchange 漏洞》中,我們詳細說明攻擊是如何發生的,幫助防禦人員知道應該在系統上注意哪些警訊。我們解釋了 Conti 使用的工具、橫向移動、資料是如何被外洩和加密,以及如何防禦的技巧,包括使用 Exchange Server 的企業應盡快更新和修補伺服器的緊急建議。「我們還想強調攻擊發生的速度。與典型攻擊者在散播勒索軟體之前會先停留數月或數週之久相反,Conti 攻擊者不用一分鐘就會取得對目標網路的使用權限。三分鐘後,攻擊者安裝了第二個備份 web shell,我們懷疑新增備份的目的是防止受害者發現前一個。在 30 分鐘內,他們就會建立一份網路電腦、網域控制站和網域系統管理員的完整列表。僅僅四小時後,Conti 攻擊者就取得網域系統管理員帳戶的憑證並開始執行命令。在初次獲得使用權限後的 48 小時內,攻擊者已經外洩了大約 1 TB 的資料。五天後,他們將 Conti 勒索軟體部署到網路上的每台電腦,尤其針對它們的網路共用區。在入侵過程中,攻擊者在網路上安裝了一個不常見的後門:兩個 web shell、Cobalt Strike 和四個商用遠端存取工具 (AnyDesk、Atera、Splashtop 和 Remote Utilities)。web shell 主要是用於初始存取,Cobalt Strike 和 AnyDesk 則是其餘攻擊的主要工具。這種作法迅速而高效率,因此安裝修補程式絕對是不可或缺的。」 防禦人員應修補和部署預防性安全措施,包括反勒索軟體以及行為和機器學習技術偵測,以防禦 Conti 和其他勒索軟體。 - 新聞稿有效日期,至2021/10/06為止
聯絡人 :MalicHuang 聯絡電話:+88627311307 電子郵件:malic@wordtech.com.tw
上一篇:手機就是刷卡機!讓後疫情的面對面消費,有個更安全的支付方式
下一篇:中秋宅經濟再發威!奧丁丁市集推健康食材箱 擁抱生鮮食材箱新藍海
|
■ 我在中國工作的日子(十四)阿里巴巴敢給股票 - 2023/07/02 ■ 我在中國工作的日子(十三)上億會員怎麼管理 - 2023/06/25 ■ 我在中國工作的日子(十二)最好的公司支付寶 - 2023/06/18 ■ 我在中國工作的日子(十一)兩個女人一個男人 - 2023/06/11 ■ 我在中國工作的日子(十)千團大戰影音帶貨 - 2023/06/04 ■ 我在中國工作的日子(九)電視購物轉型電商 - 2023/05/28 ■ 我在中國工作的日子(八)那些從台灣來的人 - 2023/05/21 ■ 我在中國工作的日子(七)嘉丰資本擦身而過 - 2023/05/14 ■ 我在中國工作的日子(六)跟阿福有關的人們 - 2023/05/07
|