从Conti勒索软件泄漏中可以学到什么关键基础设施

从2013年到2020年，对关键基础设施的攻击增加了3,900% (Gartner)， 55%的OT安全从业人员将勒索软件列为OT系统(SANS)的头号威胁，这一比例是2019年的两倍。为什么?勒索软件团伙，比如Conti勒索软件。

孔蒂在2021年从受害者那里勒索了至少1.8亿美元，这大约是对殖民管道袭击事件负责的DarkSide/BlackMatter勒索金额的两倍。

勒索软件已经成为一种有效的威胁载体，因为组织是不安全的，容易受到攻击。自殖民管道事件以来，已经报道了其他几起针对运营实体的主要勒索软件攻击:玛莎葡萄园岛渡轮服务KP小吃，还有JBS肉类公司它提供了美国40%的肉类供应。在此之前，威斯洛克(Westrock)、Molson Coors和许多其他公司也发生了几起大型公开勒索病毒事件。

这种威胁行为者针对工业控制系统(ICS)和操作技术(OT)并不新鲜。Conti网络组织使用勒索软件作为主要黑客技术，成功勒索了87家关键基础设施组织。

虽然目前俄罗斯和乌克兰之间的地缘政治局势刺激了Conti及其内部工作的渗透和泄露(通过一个新的Twitter账户@ContiLeaks)，但这种洞察力让我们对全球冲突带来的新风险产生了疑问。根据泰利斯公司(Thales)的研究，21%的受访者承认遭受过勒索软件网络攻击——所以另一个发明的问题是谁是下一个?

对于网络犯罪集团Conti来说，根据他们在冲突开始后发布的信息，总部位于美国或众多盟国之一的每一家运营和关键基础设施公司都可能成为目标。事实上，孔蒂提到他们会如果对该国发动网络攻击，将对关键基础设施采取报复性措施”。

但对于关键基础设施的网络防御者来说，康迪泄露的信息改变了游戏规则。我们离了解这些勒索软件团伙的内部运作又近了一步——最终——如何阻止他们。

因此，本文探讨了围绕Conti勒索软件集团的事件，以及谁可能是他们的下一个目标。具体而言，本文将回答以下问题:

• 康迪勒索软件组织是谁?
  • 它们是如何构成的?
• 他们如何选择攻击目标?
• 您如何保护您的组织免受像Conti这样的勒索软件组织的攻击?

Conti的组织简介

Conti是一个专门从事勒索软件攻击(勒索软件即服务)的网络犯罪组织。他们在俄罗斯运作，主要针对大型企业。就像之前的Ryuk(另一个以对微软系统进行大规模勒索软件攻击而闻名的网络犯罪组织)一样，他们的组织结构非常严格。事实上，根据几个星期前一个名为“Contileaks”的新Twitter账户泄露的信息，该组织组织良好，其角色和流程类似于中型软件公司:编码员、测试人员、招聘人员、开发人员等。

根据最新泄露的消息，该集团拥有100多名员工，其运作方式似乎与普通公司完全一样，可以轻松地将其组织结构划分为六个具体部门:运营、人力资源、财务、IT、研发和营销。

操作

说到他们的运营团队，康迪拥有广泛的手段、高度的积极性和对目标行业的良好了解。为了盈利，该组织主要使用勒索软件——Conti勒索软件——作为他们的主要攻击方法。他们的恶意软件通常利用微软Windows系统中未修补的漏洞，并使用这些资产在网络中移动，直到找到他们的目标:有价值的数据和/或他们可以加密的系统。

该组织主要使用犯罪软件即服务平台Trickbot来部署他们的恶意软件(他们也使用Cobalt strike)和Emotet来跟踪受害者感染恶意软件的机器人，在过去几年里，该组织已经感染了数百家组织。

然而，康迪最近成为美国政府和其他组织(联邦调查局，美国国土安全部等)发起的行动的受害者，这些行动伤害了该组织的行动。事实上，Conti失去了对Emotet的控制，而Trickbot也因此被关闭。

这不会阻止孔蒂，只会迫使他们调整进攻策略。

研发

研发是确保集团业务连续性的重要组成部分。网络世界是当今现代社会中最具活力的环境之一，随着集团面临的事件，他们必须确保自己跟上时代，适应市场上新的软件和网络控制和解决方案。

例如，Conti在多个防病毒工具上投入了大量资金，并不断测试它们，以确保它们不会将恶意软件检测为攻击。通过研究这些不同的安全工具及其不同的版本/更新，Conti调整和修改他们的恶意软件，以便对目标发起成功的攻击。

研发投资的另一个好例子是研究即将上市的新操作系统版本。比如Windows 11。

它

根据康迪泄露的数据，有多种技术元素——软件、工具等——康迪预算并使用它们来支持他们的运营和研发。可以找到许多例子，例如安装在所有管理计算机上的EDR工具，以监视组织内关键用户的活动。网络上还安装了防火墙。

该组织还为他们的网站支持和软件、应用程序和设备的调试以及开源情报工具提供预算。

人力资源

为了招募黑客和其他资源来启动运营，康迪有许多类似于经典软件公司的内部人力资源流程。该团队拥有超过80名员工，一直在寻找新人来填补组织中存在的不同角色:编码员、测试人员、逆向工程师、黑客、管理员等。

为了招募新人，他们会使用广告等标准策略(几个俄语网络犯罪论坛上的广告)，以及他们自己版本的案例比赛。当他们找到新的候选人时，他们甚至有看似相似的基本工作条件呈现给他们:

• 每周工作五天
• 月薪2000美元起(但根据泄露的信息，编码员月薪可高达5000至10000美元)
• 工资1^圣和15^th(通过比特币存款)

这份工作条件清单看起来像是从普通雇主手册上复制粘贴过来的，很难想象为什么网络犯罪分子不想为康帝集团工作。

然而，泄露的信息描述了一个不同的现实:

• 由于业务的性质和员工处理的数据，领导层和员工之间缺乏信任
• 根据泄露的信息，大多数员工被迫花时间在重复的任务上
• 上面列出的工作时间和其他条件很少得到尊重

市场营销

即使它似乎不是“官方”集群的一部分，康迪也有专人负责确保该团队在网上可见，正如上文所述，他们也是招聘过程的积极组成部分。

金融

如果你的公司是按项目管理创新的，那么每个部门通常会在特定时期(通常是财政年度，或者在其他情况下是一个季度的开始)开始时索要预算，并根据预算交付他们使用路线图制定的战略的一部分。

在康帝的案例中，该集团也采取了类似的做法。目前还没有关于他们具体如何分配预算的信息，但从泄露的信息来看，康迪为不同的团队提供了招聘、软件、宣传和广告、研究等方面的预算。

康迪网络组织是如何选择攻击目标的?

所有这些部门都朝着一个共同的目标努力，孔蒂执行攻击的唯一任务就是选择一个目标。那么他们是如何选择他们的呢?

Conti以双重勒索勒索软件而闻名，这意味着一旦他们获得了有价值的数据或系统，并使用勒索软件对其进行加密，他们就会要求两笔不同的钱。受害者可以选择支付其中一项或两项:

1. 解密密钥，以恢复其数据的可用性
2. 康迪的“保证”，他们不会在网站上泄露公司数据，损害机密性。

为了要求受害者分别支付两笔款项，并从每笔款项中获得大量资金，Conti需要将目标锁定在有足够能力支付赎金的组织(根据数据泄露，他们的目标大多是年收入达1亿美元的公司)。例如，康帝的聊天记录泄露显示，他们倾向于把目标对准更大的公司，包括财富500强公司。

此外，Conti通常针对那些负担不起的组织不支付赎金，要么是因为这会对他们的声誉产生重大影响，要么更糟，因为这可能会影响安全。

这也是他们迄今为止针对多个医疗保健组织的原因之一。例如，在2020年，康迪对美国的几家医院和诊所发起了攻击，他们试图勒索多达428家医院，在某些情况下成功了。即使该具体病例最终没有成为重大危机，也很容易想象，无法获得数据将对医生、护士和医务人员照顾病人和挽救生命的能力产生何种影响。

那么，谁会是下一个受害者?好吧，随着当今世界所发生的事情，任何提供基本服务的组织(能源、石油和天然气、医疗保健、食品工业等)都可能成为以俄罗斯为名的报复措施的目标——无论是因为战争、网络战，还是对该国实施制裁。

康迪集团及其潜在目标的下一步是什么?

预计在未来几周内，有关康迪的更多信息将被披露。自从最初的数据泄露以来，新的链接和信息出现了，随着东欧冲突的持续，从Conti泄露数据的人(包括他们用于恶意软件的部分代码)很可能会继续发布关于该组织的新细节。这些信息，以及未来可能被发现的信息，提供了很多关于这个成功网络组织的运作和思维模式的内幕，并可能帮助网络安全专业人员和组织更好地了解他们所面临的威胁行为者。它甚至可以帮助组织确定要采取的具体措施来降低风险。

孔蒂是怎么来的?

当他们攻击目标时，Conti通常会从常规的网络钓鱼活动或定制的电子邮件(鱼叉钓鱼)开始，以访问笔记本电脑或个人电脑。利用嵌入在可执行文件中的代码或电子邮件中的恶意链接，他们获得了对网络的初始访问权。他们还使用弱远程桌面协议(RDP)凭据;直接在网上发布的假冒软件，以及众所周知的漏洞，可以进入受害者的网络。

一旦他们接入网络，Conti就会执行各种扫描来识别易受攻击的路由器、接入互联网的存储设备，甚至是远程监控和管理软件。一旦他们找到了那些易受攻击的资产，Conti就会在网络中执行有效载荷和蛮力。使用该过程，Conti可以发现文件、网络配置等，并在网络内部横向移动以找到所需的数据。

从那里，Conti执行数据泄露和凭证收集，这将用于第一次赎金，如前所述。为了获得第二次赎金，孔蒂计划使用勒索软件进行加密攻击。通常情况下，那些可疑的人或捕捉到潜在漏洞迹象的人，会在那一刻看到一切恢复正常。然而，几天/几周后，孔蒂发作了。

关键基础设施如何保护和防御Conti?

防御潜在勒索软件攻击的最佳方法是部署多层重叠的保护和防御措施，并利用端点风险安全程序。

端点方法使用特定于ot的端点可见性和库存技术，直接从端点本身收集资产信息，并与其他安全组件集成以完成安全图像。

这一过程始于能够实现深度供应商不可知、端点可见性的技术，包括100%的软件库存、所有应用软件和操作系统的完整补丁状态、关于配置设置、密码和用户/帐户的详细和定期信息、防御工具状态(如A/V)、白名单、网络配置规则和设置，以了解网络防御，以及基于进程和网络的资产关键性。

这种“360度”的风险视图允许组织定义最有效和最高效的方法来补救风险和确保给定端点的安全。

该计划应包括锁定OT系统以减少特权，尽可能经常/如果可能，使用一流的网络安全工具，如反病毒和白名单，当然，还有强大的备份计划。最重要的是，这些操作应该伴随着其他标准的安全流程，如用户/帐户管理、监视和检测。

在我们超过25年的工业系统工作中，我们发现最大的差距是在安全管理和维护方面。防火墙可能存在，但工作人员已经调整了规则设置，允许远程访问，并创建了绕过关键保护层的服务器。可能存在补丁策略，但由于操作的紧迫性，通常是标准的手动任务无法完成。这些缝隙没有中心可见性。标准的安全配置可能存在，但也有例外，用户可以调整它们，允许使用新软件，开放端口，从而在安全结构中留下缺口。可靠和及时的备份可用性可以显著减少勒索软件攻击时的停机时间。但是这些备份是最新的吗?它们恢复得快吗?如果没有管理，您认为拥有的备份可能没有准备好“以防紧急情况”。

能够将所有系统的安全状态整合到一个公共数据库中，以跟踪和确保保护措施得到维护，这对于强大的保护措施至关重要。资产所有者必须打补丁、分段、强化配置、确保适当的备份，并将访问权限限制在最小权限。这些核心的、基本的安全要素可以决定是否成为受害者。

然后组织应该通过查看以前攻击的数据来定制这个程序(如上所述)。在大多数有记录的由Conti策划的攻击中，它通常是从基本的网络钓鱼或鱼叉式网络钓鱼活动开始的。然后，使用恶意附件，Conti将使用嵌入式脚本访问使用各种弱点的计算机(如前所述)。从那里，他们移动到梦寐以求的数据。95%的OT/ICS攻击是通过环境中使用的商品IT设备发生的。防御需要对所有资产和集成的可见性，以提供简单但全面的覆盖。

对于特定于Conti的入侵指示器(IoCs)，组织应该高度警惕连接到远程桌面(RDP连接)的异常尝试，安装在网络上的虚假软件或“危险”软件，如ZLoader，进出网络的异常流量(不应该离开网络的文件和数据)，以及IcedID、TrickBot或Cobaltstrike等恶意软件。

但我们知道，光有探测是不够的。检测和响应行动的集成使行业组织能够显著降低勒索软件攻击的传播和成本。

-这最初出现在神韵工业的网站．神韵工业是CFE媒体和技术内容合作伙伴。

原始内容可以在神韵工业．

您是否具有本内容中提到的主题的经验和专业知识?你应该考虑为我们的CFE媒体编辑团队做出贡献，并获得你和你的公司应得的认可。点击在这里开始这个过程。