根据Chainalysis报告显示,Conti在2021年收入至少达到1.8亿美元,其敛财能力在勒索软件组织中处于领先地位。
揭秘勒索攻击
近年来,来自勒索软件的攻击一直呈快速上升趋势。由于疫情而让远程办工成为常态后,更是如此。勒索软件正在驱动着“数字疫情”,不仅勒索软件组织越来越多,攻击模式也越来越多样化,“勒索软件即服务(RaaS)”和加密货币的非法商业模式正在形成。
Akamai安全研究人员对近期意外泄露的Conti的内部文档和聊天记录进行的审查和分析表明,它并不仅限于以大公司为目标,攻击对象也包含了中小企业。
Akamai的分析揭示了Conti所使用的一系列具体战术、技术和流程 (TTP) 及入侵指标 (IoC),让我们可以了解现代勒索软件团体所使用的工具和技术,以及蓝队可以使用的潜在反制技术。
泄露的文档说明了Conti的网络攻击方法及其传播目标,但尚未发现关于初始访问行为的文档或手册,只有各种网络爬虫的设计文档。Akamai安全研究人员认为,这可能表明该攻击媒介从某种程度上来说是自动化的,初始入侵之后便会使用操作员准则。
Conti的攻击场景是多层面的,而且非常注重细节,并且是持续有效的模式:攻击方法可以概括为“收集凭据、传播、重复”。假定操作员可以访问网络中的某台计算机,那么,他们的目标则是通过网络进行传播。首先,操作员会尝试转储和解密密码,或者暴力破解密码;之后,操作员根据指示在下一台计算机上使用凭据,扩大他们的攻击范围,然后再重复第一个步骤。同样,操作员也学会了要在获取网络主导权后才开始进行加密,这样可以确保尽可能扩大攻击的影响范围。
Conti 的攻击方法其实并不新颖,使用有效的工具和持久化技术便可以做到这一点,其中主要涉及“触摸键盘”。虽然有些功能可以用脚本进行控制或者自动执行,但操作员通常需要窃取凭据,并做出明智的网络传播决策。
Conti非常注重“触摸键盘”网络传播,这表明我们需要强大的防御措施来阻止其横向移动,而且这些措施会在抵御勒索软件方面发挥关键作用。
抵抗Conti
针对勒索软件组织可能采取的各种攻击手段,企业必须时刻做好应对的准备。为确保免受Conti 等勒索软件组织的威胁与攻击,企业应当积极主动地采取必要的措施来确保网络免受其攻击。因此,采用一个全面整合的零信任解决方案至关重要,可以保障企业免受勒索软件等威胁,保护处于网络核心的关键资产。
类似Conti这样的勒索软件组织,经常通过收集市面上多种安全软件来验证其攻击的有效性,在此情况下,企业应该如何验证自身防护的有效性?
Akamai 安全研究人员给出了建议:Conti 很大程度上依赖于现有用户及其凭据来实现横向移动和访问,加强对访问人员和访问位置的控制,并有意将高级用户与日常活动分开,可以极大程度地阻止和减缓横向移动流程,这样做还可以实现更多的检测面。除了控制用户访问权限之外,企业还可以控制通信路径。禁用用户端点之间可被滥用于横向移动的协议(RPC、RDP、WinRM、SSH 等),限制对文件共享的访问,以及限制对数据库和备用服务器的访问,这些操作可以显著减少网络攻击面。
对于企业愈加复杂的网络环境以及多云应用,Akamai提供了一整套创新和领先的零信任安全解决方案,包括Web应用程序防火墙(WAF)、零信任网络访问(ZTNA)、域名系统(DNS)防火墙和Web安全网关(SWG),有助于企业防止成功侵入员工设备的攻击者和恶意软件获得企业基础设施和应用程序的访问权限,阻止勒索软件等网络攻击。
此外,面对企业内部的异构系统,Akamai还可以简化管理流程,让所有资源节点和终端设备都做到安全可视,第一时间找到问题所在,支持对企业中的资源进行微细分,防止威胁因素、恶意软件和勒索软件的横向感染和传播。Akamai能够在企业内部构建防范策略,将安全方案聚焦到有问题的设备和资源,帮助安全运维人员第一时间发现并制止恶意行为,阻止勒索软件在企业内网扩散。
据了解,Akamai平台提供多重安全防护,包括应用程序和API保护、诈骗预防、基础设施保护、访问控制等等,兼顾安全和性能,并且可以实现统一的安全策略,消除各种不一致性。
写在最后
尽管还不能全面了解Conti的内幕,但是毋庸置疑的是企业必须拥有全面的网络防御和安全控制措施,并确保它们有效运行,尽可能多地识别和阻止多个层面的网络攻击。.
如此,企业才可以将网络攻击的风险降到最低,保持有效的IT治理,防止自身业务系统以及声誉免受损失。