CISA опубликовало предупреждение о вымогательской группировке Conti
27/09/21
Агентство кибербезопасности и безопасности инфраструктуры (CISA) опубликовало информационный бюллетень, посвященный программе-вымогателю Conti. В документе для сообщества ИБ-специалистов была представлена подробная информация о группировке и ее партнерах.
По словам специалистов CISA и ФБР, в общей сложности было зафиксировано более 400 атак с использованием программы-вымогателя Conti, нацеленных на американские организации и международные предприятия. CISA представила техническую информацию о том, как действует вымогательская группировка, и какие шаги могут предпринять организации для предотвращения потенциальных атак.
Как отметили эксперты, хотя Conti использует бизнес-модель «вымогательское-ПО-как-услуга», группировка действует несколько иначе, чем другие преступники. По данным CISA, группировка не платит партнерам часть доходов от выкупа, а выплачивает заработную плату.
По словам директора по кибербезопасности АНБ Роба Джойса (Rob Joyce), операторы Conti нацелены на критически важную инфраструктуру. Количество атак с использованием Conti увеличивается. Джойс призвал призвал организации использовать мультифакторную аутентификацию, сегментировать свои сети, сканировать их на наличие уязвимостей и быть в курсе всех исправлений.
Участники Conti используют различные методы и инструменты для проникновения в системы, включая целевые фишинговые кампании, программное обеспечение для удаленного мониторинга и управления и программное обеспечение для удаленных рабочих столов.
В кампаниях целенаправленного фишинга использовались электронные письма, содержащие вредоносные вложения или ссылки. Вредоносные вложения Microsoft Word часто содержат встроенные скрипты для загрузки или установки других вредоносных программ, таких как TrickBot и IcedID и/или Cobalt Strike.
Иногда группировка и ее партнеры используют инструменты, которые уже есть в сети жертвы, или запускают Windows Sysinternals и Mimikatz для хищения учетных данных в виде открытого текста. Таким образом хакеры повышают привилегии на системе и выполняют другие задачи после эксплуатации и перемещения по сети.