美国国土安全部网络安全与基础设施安全局、联邦调查局和国家安全局在本周三联合发布警告,敦促各组织尽快更新系统,以应对Conti勒索软件攻击不断增加的现实威胁。
网络与基础设施安全局和FBI在报告中称,在2020年春季至2021年春季期间,美国本土及国际组织遭遇了400多次网络攻击,其中使用Conti勒索软件的数量正在急剧上升。该团伙主要开展“双重勒索”活动,即加密数据的同时窃取数据。受害者需要支付赎金以恢复对系统的正常访问;如果拒不配合,那么攻击一方将威胁披露被盗数据。
图片
FBI今年5月在报告中强调,在上报的400起攻击活动当中,至少有16起指向美国医疗保健服务商与急救网络。
Conti勒索软件团伙与今年出现的多起重大攻击行为有关。6月,该团伙从塔尔萨市警方手中窃取了约18000份文件,市政方面拒绝付款后,部分文件遭到外泄。今年早些时候,Conti勒索软件团伙还给爱尔兰公共卫生系统造成长达数周的服务中断。
网络与基础设施安全局网络安全执行助理主任Eric Goldstein表示,“随着恶意网络攻击者不断将大型与小型企业、组织及政府部门作为目标,越来越多的美国民众开始切身体会到勒索攻击流行带来的现实后果。”
美国国家安全局网络安全主管Rob Joyce在咨询意见中警告称,最近攻击活动背后的网络犯罪分子,长期以来一直在紧盯包括国防工业在内的各类关键基础设施。
此次警报发布之际,美国网络安全官员正面临着日益严重的勒索软件攻势。这类攻击已经导致学校、医院、企业、地方政府以及对于美国社会正常运作至关重要的多个基础性行业陷入瘫痪。就在本周早些时候,黑客团伙BlackMatter攻击了爱荷华州农业企业NEW Cooperative,引发人们对于农业供应链中断的担忧。而根据网络与基础设施安全局周三发布的另一份声明,New Cooperative一直在与该局及FBI合作开展业务恢复工作。
周三发布的这份Conti警告,还具体分析了该团伙的技术手段与组织结构。
报告解释道,“Conti可能是一种采用勒索软件即服务(RaaS)模式的勒索软件变体,其组织结构与典型的黑客团伙有所区别。Conti开发者很可能是向勒索软件的实际部署者支付工资,而不是按成功攻击后的非法所得进行分成。”
Conti经常通过鱼叉式网络钓鱼攻击或者将恶意下载链接伪装成真实软件等形式,获取对于目标系统的初始访问权限。之后,他们会利用访问权限扫描凭证以获取更高权限。本月早些时候,某心怀不满的参与者公布了Conti手册,可以看到该组织已经将多个微软安全漏洞指定为初步访问点。
警报最后还提到,各组织可以通过更新操作系统、应用多因素身份验证等方式抵御Conti勒索软件的冲击。