美国 CISA、FBI 和 NSA 警告康提勒索软件攻击升级

CISA、联邦调查局（FBI）和国家安全局（NSA）警告称，针对美国组织的康提勒索软件攻击数量将增加。

@CISAgov和@FBI观察到超过 400 次勒索软件攻击，使用#Conti窃取敏感数据。阅读与@NSACyber联合网络安全咨询，了解可以采取的行动，以防止此威胁。https://t.co/57tuw5uGvC#Cybersecurity#Ransomware pic.twitter.com/UQ7bZCtu0e

• 美国-CERT （@USCERT_gov） 2021 年 9 月 22 日

该通报敦促各组织采取补充措施，提高其安全水平。

根据这三家美国机构的数据，康提勒索软件运营商已经对美国和国际组织进行了400多起攻击。

"网络安全和基础设施安全局 （CISA） 和联邦调查局 （FBI） 观察到，Conti 勒索软件在 400 多起针对美国和国际组织的攻击中使用增加。在典型的 Conti 勒索软件攻击中，恶意网络行为者窃取文件、加密服务器和工作站，并要求支付赎金。阅读公告。为了保护系统免受 Conti 勒索软件的攻击，CISA、FBI 和国家安全局 （NSA） 建议实施本咨询中描述的缓解措施，其中包括要求多因素身份验证 （MFA）、实施网络分割以及保持操作系统和软件的更新。

Conti 勒索软件运营商运行一个私人勒索软件即服务 （RaaS），恶意软件出现在威胁景观在 2019 年 12 月底，并通过TrickBot 感染分发。专家推测，这些运营商是俄罗斯一个名为"巫师蜘蛛"的网络犯罪组织的成员。

自 2020 年 8 月以来，该组织启动了泄漏网站，威胁受害者释放被盗数据。

美国机构发布的公告提供了以下缓解措施：

• 使用多因素身份验证。
• 实现网络分割和过滤流量。
• 扫描漏洞并更新软件。
• 删除不必要的应用程序并应用控制。
• 实施端点和检测响应工具。
• 限制通过网络访问资源，特别是通过限制 RDP。
• 安全用户帐户。
• 在感染时使用勒索软件响应检查表。

今年5月，美国联邦调查局（FBI）透露，康提勒索软件团伙已经袭击了至少16个医疗保健和急救组织。

今年8月，Conti RaaS的一个附属公司将集团提供的培训材料泄露给了RaaS的客户，他还公布了其中一名运营商的信息。

Conti 运营商向其附属公司提供服务，并维持每次赎金支付的 20-30%。

该联盟泄露了钴罢工 C2 服务器的 IP 地址和 113 MB 的存档，其中包括 Conti 操作员与其网络共享用于进行勒索软件攻击的培训材料和工具。