根據Chainalysis報告顯示,Conti在2021年收入至少達到1.8億美元,其斂財能力在勒索軟件組織中處于領先地位。
揭秘勒索攻擊
近年來,來自勒索軟件的攻擊一直呈快速上升趨勢。由于疫情而讓遠程辦工成為常態后,更是如此。勒索軟件正在驅動著“數字疫情”,不僅勒索軟件組織越來越多,攻擊模式也越來越多樣化,“勒索軟件即服務(RaaS)”和加密貨幣的非法商業模式正在形成。
Akamai安全研究人員對近期意外泄露的Conti的內部文檔和聊天記錄進行的審查和分析表明,它并不僅限于以大公司為目標,攻擊對象也包含了中小企業。
Akamai的分析揭示了Conti所使用的一系列具體戰術、技術和流程 (TTP) 及入侵指標 (IoC),讓我們可以了解現代勒索軟件團體所使用的工具和技術,以及藍隊可以使用的潛在反制技術。
泄露的文檔說明了Conti的網絡攻擊方法及其傳播目標,但尚未發現關于初始訪問行為的文檔或手冊,只有各種網絡爬蟲的設計文檔。Akamai安全研究人員認為,這可能表明該攻擊媒介從某種程度上來說是自動化的,初始入侵之后便會使用操作員準則。
Conti的攻擊場景是多層面的,而且非常注重細節,并且是持續有效的模式:攻擊方法可以概括為“收集憑據、傳播、重復”。假定操作員可以訪問網絡中的某臺計算機,那么,他們的目標則是通過網絡進行傳播。首先,操作員會嘗試轉儲和解密密碼,或者暴力破解密碼;之后,操作員根據指示在下一臺計算機上使用憑據,擴大他們的攻擊范圍,然后再重復第一個步驟。同樣,操作員也學會了要在獲取網絡主導權后才開始進行加密,這樣可以確保盡可能擴大攻擊的影響范圍。
Conti 的攻擊方法其實并不新穎,使用有效的工具和持久化技術便可以做到這一點,其中主要涉及“觸摸鍵盤”。雖然有些功能可以用腳本進行控制或者自動執行,但操作員通常需要竊取憑據,并做出明智的網絡傳播決策。
Conti非常注重“觸摸鍵盤”網絡傳播,這表明我們需要強大的防御措施來阻止其橫向移動,而且這些措施會在抵御勒索軟件方面發揮關鍵作用。
抵抗Conti
針對勒索軟件組織可能采取的各種攻擊手段,企業必須時刻做好應對的準備。為確保免受Conti 等勒索軟件組織的威脅與攻擊,企業應當積極主動地采取必要的措施來確保網絡免受其攻擊。因此,采用一個全面整合的零信任解決方案至關重要,可以保障企業免受勒索軟件等威脅,保護處于網絡核心的關鍵資產。
類似Conti這樣的勒索軟件組織,經常通過收集市面上多種安全軟件來驗證其攻擊的有效性,在此情況下,企業應該如何驗證自身防護的有效性?
Akamai 安全研究人員給出了建議:Conti 很大程度上依賴于現有用戶及其憑據來實現橫向移動和訪問,加強對訪問人員和訪問位置的控制,并有意將高級用戶與日常活動分開,可以極大程度地阻止和減緩橫向移動流程,這樣做還可以實現更多的檢測面。除了控制用戶訪問權限之外,企業還可以控制通信路徑。禁用用戶端點之間可被濫用于橫向移動的協議(RPC、RDP、WinRM、SSH 等),限制對文件共享的訪問,以及限制對數據庫和備用服務器的訪問,這些操作可以顯著減少網絡攻擊面。
對于企業愈加復雜的網絡環境以及多云應用,Akamai提供了一整套創新和領先的零信任安全解決方案,包括Web應用程序防火墻(WAF)、零信任網絡訪問(ZTNA)、域名系統(DNS)防火墻和Web安全網關(SWG),有助于企業防止成功侵入員工設備的攻擊者和惡意軟件獲得企業基礎設施和應用程序的訪問權限,阻止勒索軟件等網絡攻擊。
此外,面對企業內部的異構系統,Akamai還可以簡化管理流程,讓所有資源節點和終端設備都做到安全可視,第一時間找到問題所在,支持對企業中的資源進行微細分,防止威脅因素、惡意軟件和勒索軟件的橫向感染和傳播。Akamai能夠在企業內部構建防范策略,將安全方案聚焦到有問題的設備和資源,幫助安全運維人員第一時間發現并制止惡意行為,阻止勒索軟件在企業內網擴散。
據了解,Akamai平臺提供多重安全防護,包括應用程序和API保護、詐騙預防、基礎設施保護、訪問控制等等,兼顧安全和性能,并且可以實現統一的安全策略,消除各種不一致性。
寫在最后
盡管還不能全面了解Conti的內幕,但是毋庸置疑的是企業必須擁有全面的網絡防御和安全控制措施,并確保它們有效運行,盡可能多地識別和阻止多個層面的網絡攻擊。.
如此,企業才可以將網絡攻擊的風險降到最低,保持有效的IT治理,防止自身業務系統以及聲譽免受損失。
