Interno poslovanje skupine Conti ransomware objavljeno je na internetu, s detaljima kako operacija funkcionira. Ali to ih nije usporilo.
Banda Conti ransomwarea još uvijek aktivno vodi kampanje protiv žrtava diljem svijeta, unatoč tome što je unutarnje djelovanje skupine otkriveno curenjem podataka.
Jedan od najplodnije grupe ransomwarea prošle godine, Conti je šifrirao mreže bolnica, poduzeća, vladinih agencija i više – u mnogim slučajevima primajući značajnu otkupninu u zamjenu za ključ za dešifriranje.
Kao i mnogi zloglasni cyber kriminalci ransomware operacija, mnogi stručnjaci za kibernetičku sigurnost vjeruju da Conti bježi iz Rusije – au veljači su članovi Contija izašli u podršku ruskoj invaziji na Ukrajinu.
Ubrzo nakon toga, pojavila su se curenja Contija, identificiranje pojedinaca uključenih u bandu i objavljivanje dnevnih zapisa razgovora, praksi zapošljavanja i drugih unutarnjih poslova tvrtke. No, čini se da javno otkrivanje operacija iza kulisa u Contiju nije zaustavilo bandu –
istraživači kibernetičke sigurnosti u NCC Groupu detaljno su opisali kako su se cyber napadi nastavili nakon curenja informacija.Napadači koriste niz početnih vektora pristupa kako bi se učvrstili na mrežama, uključujući phishing e-poruke koji sadrži Qakbot trojanski malware i iskorištavanje ranjivi Microsoft Exchange poslužitelji. Druge tehnike uključuju korištenje javno dostupnih exploita, uključujući ranjivosti u VPN uslugama i Log4J java knjižnice. Napadači također šalju phishing e-poštu koristeći legitimne kompromitirane račune.
VIDJETI: Kibernetička sigurnost: taktizirajmo (ZDNet posebno izvješće)
Uz šifriranje mreža i traženje plaćanja za ključ za dešifriranje, jedno od ključnih obilježja napada Conti ransomwarea je krađa osjetljivih podataka od žrtava i prijeteći da će ga objaviti ako se otkupnina ne plati.
Možda nije iznenađujuće, to što su sami bili žrtve curenja informacija nije natjeralo Conti da promijeni svoju taktiku i oni nastavljaju krasti značajne količine podataka od žrtava kako bi ih koristili kao dodatnu polugu u dvostrukim napadima iznude.
Conti i druge skupine ransomwarea i dalje su prijetnja poduzećima i svakodnevnim uslugama, ali postoje mjere koje se mogu poduzeti kako bi se izbjeglo da postanete žrtva razornog cyber napada.
Kao što su detaljno opisali istraživači, mnoge Conti kampanje će iskoristiti nezakrpane ranjivosti za dobivanje početnog pristupa mrežama, pa bi tvrtke trebale osigurati da sigurnosne zakrpe za poznate ranjivosti primjenjuju se što je brže moguće pomoći u blokiranju potencijalnih upada.
Uz to, treba provoditi robusne politike zaporki i provjera autentičnosti s više faktora uveden za sve korisnike.
Timovi za informacijsku sigurnost također bi trebali nadzirati mreže za potencijalno sumnjive aktivnosti, jer čak i ako su napadači unutar mreže, ako su otkriveni prije nego što se aktivira napad ransomwarea, može se spriječiti.
VIŠE O KIBERSIGURNOSTI
- Ova je tvrtka bila pogođena ransomwareom, ali nije morala platiti. Evo kako su to uspjeli
- To se događa kada dvije skupine ransomwarea hakiraju istu metu - u isto vrijeme
- Želite poboljšati svoju kibernetičku sigurnost? Evo 10 koraka za poboljšanje vaše obrane
- Upozorenje o ransomwareu: Napadi rastu i nastavit će dolaziti ako žrtve nastave plaćati
- Plaćanja ransomwareom: Evo koliko će vas sada koštati žrtva