Conti 勒索軟體集團和 ProxyShell 漏洞目前都是主流的威脅。不幸的是,Sophos 有證據表明 Conti 正在利用 Proxyshell,根據 Sophos 威脅研究人員的說法,由於以勒索軟體即服務 (RaaS) 模式運作的 DarkSide、REvil 和 Avaddon 等三個集團解散,Conti 勒索軟體目前又非常活躍了。
那些集團已經被解散的相關組織正在尋找新的營運者,Sophos 懷疑是 Conti,因為 Sophos 威脅研究人員最近看到它的大量活動。目前另一個值得「高度警戒」威脅是 ProxyShell,一種進化版的 ProxyLogon 攻擊。ProxyShell 很容易被利用,亦是當前攻擊者劇本中的要角,包括那些部署 LockFile 勒索軟體的劇本。
Sophos 事件回應主管 Peter Mackenzie 表示:「Sophos 已確認 Conti 勒索軟體攻擊者正在利用 ProxyShell。在 Sophos 文章《Conti 相關組織在勒索軟體攻擊中利用 Microsoft Exchange 漏洞》中,我們詳細說明攻擊是如何發生的,幫助防禦人員知道應該在系統上注意哪些警訊。我們解釋了 Conti 使用的工具、橫向移動、資料是如何被外洩和加密,以及如何防禦的技巧,包括使用 Exchange Server 的企業應盡快更新和修補伺服器的緊急建議。
「我們還想強調攻擊發生的速度。與典型攻擊者在散播勒索軟體之前會先停留數月或數週之久相反,Conti 攻擊者不用一分鐘就會取得對目標網路的使用權限。三分鐘後,攻擊者安裝了第二個備份 web shell,我們懷疑新增備份的目的是防止受害者發現前一個。在 30 分鐘內,他們就會建立一份網路電腦、網域控制站和網域系統管理員的完整列表。僅僅四小時後,Conti 攻擊者就取得網域系統管理員帳戶的憑證並開始執行命令。在初次獲得使用權限後的 48 小時內,攻擊者已經外洩了大約 1 TB 的資料。五天後,他們將 Conti 勒索軟體部署到網路上的每台電腦,尤其針對它們的網路共用區。在入侵過程中,攻擊者在網路上安裝了一個不常見的後門:兩個 web shell、Cobalt Strike 和四個商用遠端存取工具 (AnyDesk、Atera、Splashtop 和 Remote Utilities)。web shell 主要是用於初始存取,Cobalt Strike 和 AnyDesk 則是其餘攻擊的主要工具。這種作法迅速而高效率,因此安裝修補程式絕對是不可或缺的。」
以下是 MITRE ATT&CK 架構中對 Conti 勒索軟體工具的摘要:
防禦人員應修補和部署預防性安全措施,包括反勒索軟體以及行為和機器學習技術偵測,以防禦 Conti 和其他勒索軟體。