爱尔兰卫生部遭Conti勒索软件攻击说明与建议
- 事件简介
爱尔兰健康服务管理署(HSE)于5月14日遭到Conti勒索软件攻击后,迫使其网络中断,也造成至少一家医院关闭所有门诊。5月17日Conti又针对HSE主管机关爱尔兰卫生部(DoH)发动袭击,爱尔兰政府警告,在勒索软件攻击DoH之后,有可能泄露机敏的医疗信息与其他患者个人资料。
新闻来源网址:
https://www.bleepingcomputer.com/news/security/conti-ransomware-also-targeted-irelands-department-of-health/
- 事件说明
- 一、 爱尔兰卫生部遭攻击事件概述
- 5月13日下午,爱尔兰国家网络安全中心(National Cyber Security Centre,NCSC)被告知卫生部(Department of Health,DoH)网络上存在可疑的攻击活动后,立即与美国卫生部及第三方安全厂商一起进行了一项调查,以确认任何可能威胁的性质与程度。
- 初步调查显示怀疑存在远程访问工具cobalt strike Beacon,恶意攻击者经常使用该工具在执行勒索软件有效负载前,于环境中进行横向移动。
- 5月14日大约早上7 点,NCSC被告知有严重事件影响爱尔兰健康服务管理署(Health Service Executive,HSE)系统。最初的报告表明,受到人为操控的Conti勒索软件攻击,严重破坏了许多系统,因此必须关闭大多数HSE系统。
- 5月14日清晨,在DoH网络上也检测到恶意的网络活动,但由于在调查过程中结合了防病毒软件与其他工具的部署,检测到并停止了勒索软件的尝试执行。
- 为了评估与限制影响,HSE决定关闭其所有IT系统,以作为预防措施。
- NCSC已启动其紧急应变措施,并正对HSE与DoH提供支持及协助,以快速从攻击事件恢复正常运作。
- NCSC还继续监控其他网络,以解决进一步攻击的风险。
- 进一步分析此网络攻击之后,NCSC已向各单位发布了适当的建议。
- HSE限制了与其他医疗保健提供商的网络连接,以做为预防措施。
- 在HSE勒索软件事件发生后,Conti组织声称可以存取HSE的网络超过两个星期,并且能够窃取700 GB的未加密档案,包括员工与患者的信息、财务报表、薪资单及合约等。
- 要求HSE需要支付2,000万美元的赎金,以从其服务器中删除所有被盗的数据并提供解密程序。
- 二、 Conti勒索软件简介
Conti勒索软件是使用一种勒索软件即服务(RaaS)运作,自2020年以来,Conti背后的组织已建立了一个站点,可以从该站点泄漏勒索软件窃取得到之档案,而该组织被认为是Ryuk勒索软件家族的继承者被称为WizardSpider,总部设在俄罗斯。去年11月,国内工业计算机大厂研华科技(Advantech)即遭Conti勒索软件之攻击。
Conti勒索软件之攻击方式大致如以下方式:
- 初始存取
该勒索软件可能是由于受到BazarLoader感染而进入系统,这可能是透过网络钓鱼电子邮件导致,其中包含与Google Drive连接,进而下载恶意软件。
- 横向运动与防御规避
攻击者还透过排程以及使用批处理文件来停用安全工具,且在获得网域管理者的凭证后,攻击者就可以自由地在网络上进行横向移动。
- 凭证存取
获得有关网域帐户的信息之后,攻击者便使用ntdsutil转存域控制器之凭证。
- 资料转出
攻击者使用名为RClone的工具来执行数据转出,该工具是一个开放式程序代码工具,用于将档案同步到指定的云端储存。
- 影响
在勒索软件转出数据并派送到目标端点后,档案并未被加密,且还透过使用WMI删除阴影复制(shadow copy)来禁止系统还原。
- 三、 NCSC提供之相关信息
- (一) 攻击策略(TTPs)
NCSC观察到了Conti勒索软件的一变种,并且在初始分析中显示了以下数据:
- 在系统上发现Cobalt Strike beacons说明在执行Conti勒索软件有效负载之前,曾被用于在环境中横向移动。
- 使用WMIC.exe删除阴影复制:
cmd.exe /c C:\Windows\System32\wbem\WMIC.exe shadowcopy where "ID=’{REDACTED}’" delete
- 列举内部网络之子网段,并保存结果到档案。
- 使用多个批处理文件(.bat)将恶意软件复制到端点。
- 透过psexec.exe利用受感染的使用者凭证,于受感染的使用者端点上执行恶意负载。
- 发现32位可执行文件的Conti勒索软件。
- 恶意软件尝试加密除了以下檔名以外的所有档案:
CONTI_LOG.txt、readme.txt、* .FEEDC、* .msi、* .sys、* .lnk、* .dll及* .exe
- 恶意软件开始是透过使用无效参数呼叫许多伪造的WinAPI来刻意引发异常,这些是由恶意软件处理,以使用反仿真/沙盒逃避(anti-emulation/sandbox evasion)技术。
- 加密的档案以.FEEDC的附檔名重新被命名。
- (二) 对应到MITRE ATT&CK框架
- T1047:Windows管理规范(Windows Management Instrument)
- T1106:原始API(Native API)
- T1129:共享的模块(Shared Modules)
- T1027.002:软件封装(Software Packing)
- T1036:伪装(Masquerading)
- T1564.003:隐藏窗口(Hidden Window)
- T1497.001:虚拟化/沙盒:系统检查(Virtualization/Sandbox Evasion:System Checks)
- T1124:侦测系统时间(System Time Discovery)
- T1083:侦测档案与目录(File and Directory Discovery)
- T1049:侦测系统网络连接(System Network Connections Discovery)
- T1057:侦测程序(Process Discovery)
- T1016:侦测系统网络组态配置(System Network Configuration Discovery)
- T1135:侦测网络共享(Network Share Discovery)
- T1486:受加密影响的数据(Data Encrypted for Impact)
- T1490:禁止系统还原(Inhibit System Recovery)
- (三) 入侵威胁指标(IoCs)
- (四) 相关防范措施
项次 |
Hash 256 |
备注 |
1 |
d21c71a090cd6759efc1f258b4d087e82c281ce65a9d76f20a24857901e694fc |
Conti |
2 |
234e4df3d9304136224f2a6c37cb6b5f6d8336c4e105afce857832015e97f27a |
Cobalt Strike |
3 |
1429190cf3b36dae7e439b4314fe160e435ea42c0f3e6f45f8a0a33e1e12258f |
Cobalt Strike |
4 |
8837868b6279df6a700b3931c31e4542a47f7476f50484bdf907450a8d8e9408 |
Cobalt Strike |
5 |
a390038e21cbf92c36987041511dcd8dcfe836ebbabee733349e0b17af9ad4eb |
Cobalt Strike |
6 |
d4a1cd9de04334e989418b75f64fb2cfbacaa5b650197432ca277132677308ce |
Cobalt Strike |
7 |
5a2e947aace9e081ecd2cfa7bc2e485528238555c7eeb6bcca560576d4750a50 |
Lazagne |
8 |
_EXE.bat |
檔名 |
9 |
_COPY.bat |
檔名 |
NCSC建议包括:
- 1. 隔离域控制器
- 2. 管制进出因特网之联机
- 3. 建立用于重建与恢复运作的干净VLAN
- 4. 阻挡恶意IP及网域
- 5. 保护特权账户
- 6. 强化端点防护
- 7. 抹除、重建及更新所有被感染的设备
- 8. 确保防病毒软件在所有系统上皆为最新状态
- 9. 确保所有硬设备之漏洞均已修补,并且已更新到最新
- 10. 使用异地备份来还原系统,在还原之前,请确认备份未受到恶意软件的攻击。
- 11. 还原端点设备
- 12. 根据需要重新映像设备
- 13. 重置密码凭证
- 14. 重新整合受隔离的系统
- 15. 还原服务
爱尔兰卫生部遭Conti勒索软件攻击说明与建议相关推荐
- 网站攻击软件_佳能遭严重勒索软件攻击,10TB的数据被窃取,大量服务宕机
佳能遭严重勒索软件攻击,10TB的数据被窃取,大量服务宕机 Garmin 遭勒索攻击的风波未平,近日,佳能又遭受了勒索软件攻击,攻击除了让佳能的一些网站宕机外,据说还导致佳能服务器中高达 10TB 的 ...
- 美国燃油管道系统Colonial Pipeline遭DarkSide勒索软件攻击说明
事件简介 美国最大的燃油管道系统Colonial Pipeline于5月7日遭到攻击,被迫暂停所有管道作业,由于Colonial Pipeline负责美国东岸多达45%的燃料供应,因攻击事件而暂停所有 ...
- 美国全国步枪协会遭 Grief 勒索软件攻击
聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 今天,Grief 勒索软件操纵者称美国全国步枪协会 (NRA) 是其受害者. NRA 的名称已被列入暗网门户网站上,表明它被 Grief 勒索组 ...
- 以报复为由,新版本Conti勒索软件源代码遭泄露,6万余条内部消息公之于众
整理 | 张洁 近日,一位乌克兰研究人员为了打击入侵本土的网络犯罪分子,把自己的Twitter名字改为" Conti Leaks ",更让人意想不到的是,他还故意把Conti勒索软 ...
- “因遭勒索软件攻击,我被认定工作失职开除,并被老东家索赔 21.5 万元”
备份无法恢复算工作失职吗? 近日,中国裁判文书网公布了一起劳动合同纠纷的民事案件.这则由江苏省太仓市人民法院发出的民事判决书显示,曾在昭衍(苏州)新药研究中心有限公司(以下简称"昭衍公司&q ...
- 法国巴黎一医院遭勒索软件攻击:急诊被迫停业 赎金1000万美元
医院业务软件.存储系统.患者信息系统均无法访问,急诊和手术被迫停业. 法国巴黎一家中大型医院CHSF上周日遭遇勒索软件攻击,医院业务软件.存储系统.患者信息系统均无法访问,急诊和手术被迫停业: 法媒世 ...
- 勒索软件攻击为何越来越多?
勒索软件(ransomware)是一种流行的木马,通过骚扰.恐吓甚至采用绑架用户文件等方式,使用户数据资产或计算资源无法正常使用,并以此为条件向用户勒索钱财. 被勒索的用户数据资产包括文档.邮件.数据 ...
- 无视法律:利用勒索软件攻击巴西最高法院
导读 这次勒索软件攻击是由未知的黑客组织发起的,他们要求获得被勒索文件的赎金;巴西高等法院(STJ)的网络设施遭受了大规模勒索软件攻击,其官方网站被迫下线. 勒索软件的攻击发生在上周一到周二,但细节今 ...
- 如何保护企业网络免受勒索软件攻击 Vecloud微云
根据SonicWall的数据,2016年约有6.38亿起勒索软件未遂攻击事件,而2015年为380万起.公司每年向攻击者提供数百万美元,而且这个数字还在不断增加. 为了防止企业成为勒索软件的受害者,企 ...
最新文章
- 【Python】透视表、统计表、汇总表、报表
- python入门基础系列_Python3基础系列-基本入门语法
- C# LINQ系列:LINQ to DataSet的DataTable操作 及 DataTable与Linq相互转换
- ArcGis dbf读写——挂接Excel到属性表 C#
- 如何查看linux命令源代码(转自网络)
- Android漫游记(1)---内存映射镜像(memory maps)
- 分布式任务队列:Celery使用记录
- 怎么缩小界面_PDF怎么压缩变小?介绍实用的PDF压缩软件
- GBK 与GB2312 互查 区位码
- 微信里的 Office 365 —— Office 365 微助理打造移动办公新体验
- cs架构自动化测试工具选型
- 薅当当羊毛的机会又!双!!叒!!!叕!!!来了
- 计算机视觉之--使用opencv生成简笔画小视频
- 关于更换固态硬盘的一些经历...
- c#获取word文件页数、字数
- python爬取网站m3u8视频,将ts解密成mp4,合并成整体视频
- 有效逻辑地址所对应的物理地址
- 计算机考研数学书,计算机考研参考书(专业课、数学、英语)
- 面试问题——英语26 改善环境 愿望
- DSP Flash运行代码