Social media
Ransomware Conti powraca. Ma szeroką gamę środków do cyberataków
Amerykańskie agencje zajmujące się bezpieczeństwem wydały ostrzeżenie przed wzmożoną aktywnością hakerów posługujących się oprogramowaniem ransomware o nazwie Conti. Według ekspertów gang wykorzystuje szeroką paletę narzędzi do cyberataków, a jego ekspansywny model działania może stanowić trudne do zwalczenia zagrożenie.
Grupa Conti pojawiła się w 2020 roku i zasłynęła cyberatakami na setki placówek służby zdrowia, w tym zmasowanym atakiem na irlandzki Health Service Executive oraz placówki edukacyjne.
Conti powraca
Oprogramowanie ransomware wykorzystywane przez Conti dzieli część swojego kodu z oprogramowaniem Ryuk. W sierpniu br. jeden z niezadowolonych członków grupy ujawnił poufne informacje na temat jej działania. Informacje te zawierały zrzuty ekranu adresów IP używanych przez gang oraz archiwum zawierające materiały szkoleniowe dla nowych rekrutów. Po ujawnieniu tych danych Conti usunęła się nieco w cień.
Teraz CISA (Cybersecurity and Infrastructure Security Agency, amerykańska Agencja ds. Cyberbezpieczeństwa i Bezpieczeństwa Infrastruktury), FBI i NSA opublikowały wspólny alert, ostrzegający przed ponowną, wzmożoną aktywnością Conti.
Komunikat stwierdza, że ransomware Conti został do tej pory wykorzystany w ponad 400 atakach w USA i innych krajach. Alert zawiera ponadto informacje techniczne na temat ataków oraz zalecenia mające na celu zmniejszenie ryzyka. Ostrzeżenie to zostało wydane tuż po tym, jak dwie spółdzielnie rolnicze padły ofiarą ataków ransomware.
Bogaty arsenał narzędzi
Zgodnie z alertem - chociaż Conti działa w modelu biznesowym RaaS (Ransomware as a Service) - nie jest on podobny do tego, który stosują inni. Gang płaci bowiem wynagrodzenie osobom wdrażającym oprogramowanie ransomware.
W celu infiltracji systemów, grupa wykorzystuje szeroką gamę narzędzi i metod - kampanie spear-phishingowe, oprogramowanie do zdalnego pulpitu oraz oprogramowanie do zdalnego monitorowania i zarządzania.
W niektórych przypadkach Conti wykorzystuje również złośliwe oprogramowanie TrickBot do wykonywania konkretnych zadań.
Agencje federalne uważają, że gang groził organizacjom również poprzez rozmowy telefoniczne. Zdaniem analityków nowy, ekspansywny model zagrożenia może okazać się dość trudny do opanowania dla firm.
Według zapowiedzi obecny raport może okazać się również pomocny w przypadku ataków innych ransomware, które wykorzystują te same narzędzia co Conti. Niektóre z zaleceń dotyczących bezpieczeństwa obejmują stosowanie MFA, wdrażanie filtrów ruchu i segmentacji sieci, łatanie oprogramowania oraz egzekwowanie narzędzi reagowania na incydenty.
Chcemy być także bliżej Państwa – czytelników. Dlatego, jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected]. Przyszłość przynosi zmiany. Wprowadzamy je pod hasłem #CyberIsFuture.