集团组成
集团组成 您现在的位置: 亚博最新网址登录 > 集团组成

Sophos 揭露 Conti 勒索软件连续五天的攻击过程

  加入日期:2021-09-18 18:12    点击量:5136

 是新一代网络安全的全球领导者,今天发表《Conti 勒索软件的现况》三部曲系列文章。Sophos 研究人员和事件回应团队揭露了攻击者入侵企业网络以窃取资料,并发动 Conti 勒索软件攻击时的真实情况。

Conti 是一个人为操作的“双重勒索”型勒索软件。在加密资料之前,攻击者会先从目标窃取资料,接著扬言如果受害组织不支付赎金,就在一个名为 “Conti News” 网站上公布其被窃取的信息。

Sophos 的全天候事件回应团队 接受客户请求,著手遏阻、消除威胁和调查这一起事件,该事件从最初被入侵到回复正常运作历时了五天。这一系列 Sophos 文章重构了这一起连续展开的攻击,并提供 Conti 攻击行为的技术信息以及对安全团队的建议。

这份《Conti 勒索软件的现况》三部曲系列文章包括:

– 分析 Conti 攻击,包括入侵指标 (IoC) 以及策略、技术和程序 (TTP)。 – 来自 SophosLabs 研究人员的技术概论。 – 一份提供给受 Conti 攻击影响的 IT 管理员的基本指南,其中包含应该立即采取的措施,以及一份如何因应的 12 点建议清单,以协助调查攻击。这份清单能使 IT 管理员了解 Conti 攻击者在网络上可能采取的动作,以及他们可能使用的主要策略、技术和流程。本文中还提供了建议采取的行动。

Sophos Rapid Response 主管 Peter Mackenzie 表示:“在人为控制的攻击中,对手可以实时做出调整并做出回应。在这种情况下,攻击者同时取得两台服务器的使用权限。因此,当目标发现受到攻击并停用其中一台服务器 (并认为他们已经实时阻挡了攻击),攻击者只需切换并继续​​使用第二台服务器进行攻击即可。人为主导攻击时经常会准备‘B 计划’,所以值得提醒的是,虽然网络上的某些可疑活动已经停止,并不代表攻击就已经结束。”

这个 “Conti News” 网站迄今已经公布了至少 180 名受害者失窃的资料。Sophos 根据 Conti News 上发布的资料创建了一个受害者概况 (涵盖了约 150 个在分析时已经被公布资料的组织)。

Mackenzie 补充表示:“在没有专属 IT 安全团队的公司中,最容易直接受到勒索软件攻击的人就是 IT 系统管理员。他们是每天早上上班,发现所有东西都被锁定,然后萤幕上被留下威胁性的勒索信的人,有时甚至还会接到恐吓电子邮件或电话。我们根据第一手威胁搜寻经验制定了一个行动清单。该清单能协助 IT 系统管理员在遭到 Conti 勒索软件攻击后,安然度过最初几个小时和前几天深具挑战性和压力的工作,让他们了解可以如何取得协助并为将来奠定更安全的基础。”

给安全团队的实时建议

关闭服务因特网的远端桌面协定 (RDP),以防止网络犯罪分子使用网络 如果您需要使用 RDP,请先上 VPN 连线再用 RDP 使用多层式安全性来预防、防护和侦测网络攻击,包括端点侦测和回应 (EDR) 功能以及可以全天候监控网络的托管型回应团队 留意攻击者存在的,以防止勒索软件攻击 制定有效的事件回应计划,并根据需要进行更新。如果您不确定自己是否有足够的技能或资源来监控威胁或回应紧急事件,请考虑寻求的帮助

Sophos 安全产品可阻止 Conti 勒索软件及其相关文件。