情境示意圖,Photo by John Salvino on unsplash

五月中駭客利用Conti勒索軟體攻擊愛爾蘭衛生機關,而本周美國聯邦調查局則警告,美國醫療界、消防、警察單位也無法倖免於Conti攻擊,美國受害者甚至占了全球超過一半,將近3/4。

愛爾蘭健康服務管理署(Health Service Executive,HSE)IT系統五月遭遇Conti勒索軟體攻擊,勒索2000萬美元,駭客宣稱握有700多GB的資料,涵括病患住址、電話號碼以及員工合約、薪資及財務資料,揚言若拿不到贖金就會出售或公布資料。HSE營運受到重大影響。HSE預防性關閉所有IT系統及切斷網路,造成一家都柏林醫院暫時關閉了所有科別門診,該國COVID-19篩檢服務也被迫取消。同時間HSE主管機關愛爾蘭衛生部(Department of Health,DoH)也遭同一批歹徒以Conti發動襲擊,所幸未成功。

FBI本周指出,去年至少辨識出有16起Conti勒索軟體攻擊,是針對美國健康照護業與緊急派遣單位的網路,包括執法機關、急救、911派遣中心及市政府等等。而Conti在全球400多個攻擊目標中,超過290個位於美國。

Conti背後的駭客可能以惡意連結、附件或竊來的RDP (Remote Desktop Protocol)密碼進入受害者網路。它可能在Word檔中嵌入Powershell script,一開始經由Word檔發動Cobalt Strike,然後在網路上植入Emotet使門戶洞開,讓攻擊者得以部署勒索軟體。攻擊者可能會在受害者網路上潛伏4天到3個星期,再使用DLL部署Conti,必要時則以其他合法工具,如Sysinternal和Mimikatz來升高權限及在網路上橫向移動,然後進行資料外洩和加密,有時也會使用TrickBot等木馬程式。而Conti植入受害者網路後,可能長期留在企業網路內,以Anchor DNS對外伺服器連線。

FBI並公布Conti的攻擊指標,包括在感染機器上從port 80、443、8080和8443,來對國內、國際虛擬伺服器(VPS)發出beacon訊息,或以port 53進行滲透攻擊,此外,也會對雲端儲存商MegaNZ和pCloud伺服器發送大量HTTPS資料連線。如果有偵測到可疑新增帳號、端點偵測被關閉、或是不斷有HTTP或DNS beacon,都表示可能已感染Conti。

熱門新聞

Advertisement