Sophos 是新一代网路安全的全球领导者,今天发表一次双重勒索软体攻击的调查结果,其中 Karma 勒索软体集团留下的勒索讯息在 24 小时后,被同时待在受害者网路中的另一个勒索软体集团 Conti 加密了。Sophos 在文章《Conti 和 Karma 攻击者同时利用 ProxyShell 漏洞攻击医疗机构》中详细介绍了这一起双重攻击,解释这两个集团如何透过未经修补的 Microsoft Exchange Server 入侵网路,然后使用不同的手法进行攻击。
Sophos 资深威胁研究员 Sean Gallagher 表示:遭受双重勒索软体攻击对于任何组织来说都是一场噩梦。在估计长达四天的时间里,Conti 和 Karma 攻击者同时活跃在受害者网路中,相互移动、下载和执行各种指令码、安装 Cobalt Strike 信标,并且收集和外洩资料。
Karma 首先到达攻击最后阶段并在电脑上发布了勒索讯息,索取比特币赎金否则就要公布窃取到的资料。然后 Conti 出击了,用更传统的勒索软体攻击加密受害者的资料。奇怪的是,Conti 勒索软体竟然加密了 Karma 的勒索讯息。
我们最近看到几起勒索软体集团 (包括 Conti) 使用 ProxyShell 漏洞入侵受害者网路的案例,还看到多组攻击者利用同一个漏洞取得受害者存取权限的例子。不过,很少有两个勒索软体集团同时攻击一个目标,这代表勒索软体这个领域已经变得非常拥挤和竞争。
双重攻击
Sophos 认为,第一次事件始于 2021 年 8 月 10 日,当时攻击者 (可能是初始存取代理人,IAB) 使用 ProxyShell 漏洞入侵网路,并在受感染的伺服器上建立立足点。Sophos 调查显示,在 Karma 于 2021 年 11 月 30 日现身之前将近四个月,有超过 52 GB 的资料被外洩到云端。
2021 年 12 月 3 日这一天发生了三件事:
- Karma 攻击者在 20 台电脑上张贴勒索讯息,要求赎金,还解释说他们并未加密资料,因为受害者是医疗机构
- Conti 悄悄地在背后运作,同样在窃取资料
- 这家受害机构后来寻求 Sophos 事件回应团队的协助来解决 Karma 的问题
在 Sophos 参与期间,Conti 于 2021 年 12 月 4 日部署了勒索软体。Sophos 随后追蹤,发现 Conti 攻击的起点是在 2021 年 11 月 25 日,利用另一个 ProxyShell 漏洞入侵受害机构。
Gallagher 补充:无论是 IAB 对两个不同勒索软体集团出售存取权限,还是未经修补的 Exchange 伺服器就是勒索软体集团的目标,双重攻击存在的这个事实,将大力提醒人们尽速修补连网设备上的漏洞。
深度防御对于在攻击链的任何阶段识别和阻止攻击者非常重要,而主动、以人为主导的威胁捕猎应该调查所有潜在的可疑行为,例如预期之外的远端存取服务登入,或是不正常使用合法工具的情形,因为它们都可能是勒索软体攻击的早期预警信号。
Sophos 端点产品 (例如 Intercept X) 能透过侦测勒索软体和其他攻击的动作和行为来保护使用者,例如 Sophos 研究中描述的攻击。
微信扫一扫打赏
支付宝扫一扫打赏
