據外媒近日報道,世界頂級珠寶品牌之一——格拉夫(Graff),遭遇了大規模的“網絡搶劫”。
—黑客竊取了其眾多富豪和明星客戶們的隱私信息
—據信受害者包括特朗普、大衛·貝克漢姆等
—黑客要求數百萬美元贖金,否則將爆料富豪和明星們的隱私
—名為 Conti 的犯罪團伙是幕后黑手
—Conti團伙曾利用最近披露的ProxyShell 漏洞攻擊 Microsoft Exchange 服務器
security affairs網站報道簡介
Conti 勒索軟件團伙要求格拉夫(Graff)支付數百萬美元的贖金,否則他們就要泄露眾多明星和富豪們的隱私。
該公司的客戶是全球最富有的一批人,包括特朗普、大衛·貝克漢姆、湯姆·漢克斯、塞繆爾·杰克遜、亞歷克·鮑德溫和菲利普·格林爵士等。
作為攻擊得手的證據,Conti 團伙已經在其泄密網站上發布了大衛·貝克漢姆、特朗普等人的購買相關文件。已公布的機密文件達到 69,000 份,內容包括客戶名單、發票、收據和信用票據等。
Conti 團伙聲稱,所發布的信息涉及 Graff 的大約 11,000 名客戶,僅占被盜文件的 1%。
外國網安業內人士稱,對客戶隱私的影響可能比購買珠寶的價值更大,如果 Graff 拒絕支付贖金,該團伙可能會試圖勒索其顧客。
“遺憾的是,我們與許多其他企業一樣,最近成為了犯罪分子的目標。” Graff 的一位發言人說。
此時,成千上萬的人已經訪問了泄密網站,挖掘已發布的文件,以尋找敏感信息。
(Graff珠寶。圖片來源于網絡)
Conti 勒索軟件團伙
Conti 團伙是最活躍、最具侵略性的勒索軟件團伙之一。
Conti 團伙運行著一個私有的勒索軟件即服務 (RaaS),該惡意軟件于 2019 年 12 月底出現在威脅環境中,并通過 TrickBot 感染進行傳播。專家推測,這些運營商是俄羅斯網絡犯罪組織 Wizard Spider 的成員。Wizard Spider 也被認為是另一個臭名昭著的黑客組織 Ryuk 的幕后黑手。
自 2020 年 8 月以來,Conti團伙還經營著一個名為Conti News的泄密網站,該網站列出了受害名單并公開泄露竊取數據,以威脅受害者。
Conti團伙屬于雙重勒索軟件陣營,在以勒索軟件加密系統之前,會先下載未加密的機密資料,以在受害者拒絕支付贖金以換取解密密鑰時作為進一步的勒索籌碼。Conti被認為是流行的Ryuk勒索軟件家族的變種,越來越多的攻擊者通過與過去傳播Ryuk相同的方法傳播惡意軟件。例如,Trickbot/Emotet等銀行木馬和BazarLoader惡意軟件現在都被用來傳播Conti。Conti團伙使用了雙重威脅策略,即保留解密密鑰并出售或泄露受害者的敏感數據。一旦惡意軟件感染了受害系統,它會嘗試橫向移動以訪問更敏感的內容。此外,Conti團伙通過使用多線程來快速加密文件。
今年以來涉及Conti團伙的部分事件
蘇格蘭環保局遭遇攻擊
2021年1月,蘇格蘭環境保護局 (SEPA)遭遇Conti勒索軟件攻擊,被竊取1.2GB數據。在襲擊發生近一個月后,該局的服務仍然中斷。在該局拒絕支付贖金后,黑客發布了數千個被盜文件,并發布了4000多份與合同、商業服務和戰略有關的文件和數據庫。
佛羅里達學校遭遇攻擊
2021年2月,佛羅里達州布勞沃德縣公立學區(Broward County Public Schools,BCPS)遭遇Conti勒索軟件攻擊,被索要四千萬美元贖金。該學區是美國第六大學區,也是佛羅里達州第二大學區。Conti團伙表示已經對該學區服務器進行了加密,并竊取了超過1TB的數據文件,其中包括學生和員工的個人信息、合同以及財務文件。
愛爾蘭醫療機構HSE遭遇攻擊
2021年5月,愛爾蘭醫療機構HSE遭遇Conti勒索軟件攻擊,被索要2000萬美元贖金。該機構在發現攻擊后關閉了所有IT系統。但Conti團伙聲稱進入該機構的網絡已達兩周,在此期間,他們竊取了700GB的未加密文件,包括患者信息和員工信息、合同、財務報表和工資單等。
FBI就Conti發布警告
2021年5月,美國聯邦調查局 (FBI) 稱,Conti勒索軟件在過去的一年中,襲擊了美國至少16個醫療保健和緊急服務機構,影響了超過400個全球組織,其中290個位于美國。
Conti團伙自行泄露攻擊手冊
2021年8月5日,Conti團伙因內部分贓不均,導致其下屬組織將其內部資料以及工具公開。被公開的文件中包含了竊取數據、檢測殺軟、對抗殺軟、網絡掃描、遠程控制等各方面的工具;還有一份詳細的攻擊教程,列出了該團伙的攻擊步驟,其大體的攻擊思路主要包括:通過獲取設備訪問權限,了解設備所屬公司,再重點了解該公司的收入情況等;通過獲取設備訪問權限,在內網繼續橫向滲透;獲取更多設備權限后部署遠控軟件,為后續攻擊操作做好準備;在內網設備中掃描文件,通過文件名認定可能有價值的文件,并利用同步數據軟件回傳這些數據;部署勒索軟件等。
CISA、FBI和NSA就Conti發布警告
2021年9月,美國國土安全部網絡安全和基礎設施安全局(CISA)、聯邦調查局 (FBI) 和國家安全局 (NSA) 稱,Conti團伙針對美國組織的勒索軟件攻擊數量有所增加。
警告稱:“CISA和FBI觀察到,在對美國和國際組織的400多次攻擊中,Conti 勒索軟件的使用有所增加。在典型的Conti勒索軟件攻擊中,惡意網絡攻擊者會竊取文件、加密服務器和工作站,并要求支付贖金。為了保護系統免受Conti勒索軟件的侵害,CISA、FBI和NSA建議實施本公告中描述的緩解措施。”
警告中提供的緩解措施包括:使用多重身份驗證;實施網絡分段和過濾流量;掃描漏洞并保持軟件更新;刪除不必要的應用程序并應用控制;實施端點和檢測響應工具;限制對網絡資源的訪問,尤其是通過限制 RDP;保護用戶帳戶等。
Conti曾利用ProxyShell 漏洞攻擊 Microsoft Exchange 服務器
2021年9月,securityaffairs網站曾發布文章稱,Conti勒索軟件團伙正在利用最近披露的ProxyShell漏洞攻擊Microsoft Exchange服務器。我們對該文作了編譯如下,以供讀者參考。
ProxyShell是三個漏洞的名稱,未經身份驗證的遠程攻擊者可以通過鏈接這些漏洞在 Microsoft Exchange服務器上執行代碼。
ProxyShell 攻擊中使用的三個漏洞是:
CVE-2021-34473 – 預驗證路徑混亂導致ACL繞過(KB5001779于4月修補 )
CVE-2021-34523 – Exchange PowerShell后端的特權提升 (KB5001779于 4 月修補)
CVE-2021-31207 – 授權后任意文件寫入導致RCE(KB5003435于5月修補 )
這些漏洞是通過在 IIS 中的端口 443 上運行的 Microsoft Exchange 的客戶端訪問服務 (CAS) 遠程利用的。
這些漏洞是由Devcore的安全研究員Tsai orange發現的,在2021 年4 月的Pwn2Own 黑客大賽中,這些問題獲得了 200,000 美元的獎金。
來自Sophos的研究人員發現,攻擊者利用Microsoft Exchange ProxyShell漏洞破壞了網絡。Conti團伙正試圖將使用Exchange Server的組織作為目標,這些組織尚未更新其安裝。一旦獲得網絡訪問權限,Conti首先會投放 web shell來執行命令并破壞服務器,然后手動部署勒索軟件以感染網絡上盡可能多的系統。
“在Sophos觀察到的一組基于ProxyShell的攻擊中,Conti成功獲得了對目標網絡的訪問權限,并在一分鐘內設置了一個遠程web shell。三分鐘后,他們安裝了第二個備份web shell。在30分鐘內,他們生成了網絡計算機、域控制器和域管理員的完整列表。僅僅四個小時后,Conti就獲得了域管理員帳戶的憑據并開始執行命令。” Sophos稱,“在獲得初始訪問權限后的 48 小時內,攻擊者已經泄露了大約1TB的數據。五天后,他們將Conti勒索軟件部署到網絡上的每臺機器上,專門針對每臺計算機上的單個網絡共享。”
專家注意到,勒索軟件團伙在目標網絡上安裝了幾個后門、幾個 web shell、Cobalt Strike以及AnyDesk、Atera、Splashtop 和 Remote Utilities 商業遠程訪問工具。
一旦獲得對目標網絡的訪問權限,勒索軟件團伙就會將竊取的數據上傳到MEGA文件共享服務器。五天后,該組織開始對網絡上的設備進行加密,并從未受保護的服務器發起攻擊。
寫在文末
總部位于倫敦的格拉夫(Graff)由勞倫斯·格拉夫 (Laurence Graff) 創立,是世界最頂級珠寶品牌之一,以鉆石著稱。有網絡專家認為,勒索者可能會要求以無法追蹤的網絡貨幣(例如比特幣)、甚至珠寶來付款。
有外媒稱,“格拉夫突襲”可能是有史以來最大的“鉆石搶劫”案——雖然沒有一顆鉆石被親手觸及;大量富有和著名的格拉夫客戶的隱私信息,已經在“暗網”上被曝光,而下一步還可能會出現更多受害者。
