Sophos 資深威脅研究員 Sean Gallagher 表示：「遭受雙重勒索軟體攻擊對於任何組織來說都是一場噩夢。在估計長達四天的時間裡，Conti 和 Karma 攻擊者同時活躍在受害者網路中，相互移動、下載和執行各種指令碼、安裝 Cobalt Strike 信標，並且收集和外洩資料。

「Karma 首先到達攻擊最後階段並在電腦上發布了勒索訊息，索取比特幣贖金否則就要公布竊取到的資料。然後 Conti 出擊了，用更傳統的勒索軟體攻擊加密受害者的資料。奇怪的是，Conti 勒索軟體竟然加密了 Karma 的勒索訊息。

「我們最近看到幾起勒索軟體集團 (包括 Conti) 使用 ProxyShell 漏洞入侵受害者網路的案例，還看到多組攻擊者利用同一個漏洞取得受害者存取權限的例子。不過，很少有兩個勒索軟體集團同時攻擊一個目標，這代表勒索軟體這個領域已經變得非常擁擠和競爭。」

雙重攻擊

Sophos 認為，第一次事件始於 2021 年 8 月 10 日，當時攻擊者 (可能是初始存取代理人，IAB) 使用 ProxyShell 漏洞入侵網路，並在受感染的伺服器上建立立足點。Sophos 調查顯示，在 Karma 於 2021 年 11 月 30 日現身之前將近四個月，有超過 52 GB 的資料被外洩到雲端。

2021 年 12 月 3 日這一天發生了三件事：

• Karma 攻擊者在 20 台電腦上張貼勒索訊息，要求贖金，還解釋說他們並未加密資料，因為受害者是醫療機構
• Conti 悄悄地在背後運作，同樣在竊取資料
• 這家受害機構後來尋求 Sophos 事件回應團隊的協助來解決 Karma 的問題

在 Sophos 參與期間，Conti 於 2021 年 12 月 4 日部署了勒索軟體。Sophos 隨後追蹤，發現 Conti 攻擊的起點是在 2021 年 11 月 25 日，利用另一個 ProxyShell 漏洞入侵受害機構。

Gallagher 補充：「無論是 IAB 對兩個不同勒索軟體集團出售存取權限，還是未經修補的 Exchange 伺服器就是勒索軟體集團的目標，雙重攻擊存在的這個事實，將大力提醒人們盡速修補連網設備上的漏洞。

「深度防禦對於在攻擊鏈的任何階段識別和阻止攻擊者非常重要，而主動、以人為主導的威脅捕獵應該調查所有潛在的可疑行為，例如預期之外的遠端存取服務登入，或是不正常使用合法工具的情形，因為它們都可能是勒索軟體攻擊的早期預警信號。」

Sophos 端點產品 (例如 Intercept X) 能透過偵測勒索軟體和其他攻擊的動作和行為來保護使用者，例如 Sophos 研究中描述的攻擊。

- 新聞稿有效日期，至2022/04/01為止

上一篇：VMware公佈2022財年第四季度及全年財務報告
下一篇：美新集團啟動Society Pass社會通行有限公司研究工作