什么是 Conti 勒索软件？

在网络安全的背景下，Conti 让人想起能够破坏最安全的系统和网络的邪恶黑客组织。它还描述了上述犯罪分子开发并用来攻击全球组织的复杂勒索软件。虽然 Conti 勒索软件组织只活跃了短短几年，但他们使用各种类型的恶意工具和激进的勒索策略窃取了数亿美元。虽然该组织现已解散，但 Conti 和类似的勒索软件工具仍然存在。

当网络犯罪分子在受害者的网络上部署 Conti 时，它会迅速蔓延，同时加密数据并将其传输到远程位置。目标是完全控制受害者的数据，从而以双重勒索的形式索要赎金。如果没有解密密钥，那么受害者将无法再访问数据。同时，由于攻击者也下载了数据，因此他们通过威胁要泄露机密信息来加大勒索攻击。虽然数据无法访问和机密信息泄露这两种情况都会给组织造成严重损害，但支付要求的赎金通常无济于事。

工作原理

Conti 集团以勒索软件即服务（RaaS）联盟计划的形式运营。该组织于 2019 年出现，取代了另一个团伙，并开始向实施攻击的附属公司出售或出租复杂的 Conti 勒索软件技术。尽管在大多数情况下，活跃攻击者会使用各种工具和技术来破解系统，但攻击需要部署 Conti 勒索软件。

正因为如此，组织必须为任何可能性做好准备，一个很好的起点是由非营利组织 MITER 开发的 ATT&CK 框架。该框架是攻击和响应策略的综合知识库。它是通过观察现实世界的网络攻击而开发的，提供了详细的程序来帮助组织识别和防御这些威胁。

初始访问

勒索软件攻击始于攻击者试图访问受害者的网络。典型的方法涉及通过发送包含看似无害的 Word 文档或 zip 文件的电子邮件进行网络钓鱼攻击。但是，这些附件是部署第一阶段漏洞利用程序的恶意软件，例如 Cobalt Strike。另一种方法涉及通过网络扫描搜索打开的 RDP 端口并使用这些端口通过被盗的凭据登录。一旦进入网络，攻击者就会使用各种工具（包括恶意工具和开源工具）来浏览网络、定位数据存储并破坏安全性。因此，对于具有远程员工访问权限的组织而言，仔细的调配和严格的安全性至关重要。

其他技术利用了标准工具（如 Active Directory）的弱点，后者将密码哈希存储在磁盘和内存中。这些可以通过 mimikitz 等工具轻松盗用这些信息，为攻击者提供管理凭据以及对网络及其数据的广泛访问权限。对于任何使用 Windows Server 的公司而言，为 Active Directory 部署 内部保护都是明智的决策。

横向移动

攻击者侵入网络后，他们就会部署 Conti 勒索软件，使其在整个网络中传播。在传播过程中，Conti 的高级代码使用多线程技术快速加密数据，并采用多种混淆技术来规避各种安全层。在端点解决方案检测并阻止攻击之前，此策略可最大限度地扩大 Conti 造成的损害。

Conti 的传播速度和效率归因于其在网络上的横向移动 — 特别是服务器消息块 (SMB) 协议。所有 Microsoft Windows 系统都使用 SMB 与设备（如网络打印机）进行通信。Conti 并不通过传统的网络设备进行传播，而是通过 SMB 协议进行传播，因此很难检测和遏制。配置 Windows SMB 客户端参数有助于缓解这种横向方法。 

外泄和加密

完全侵入网络后，攻击者就会使用 Rclone 等开源工具将受害者的数据外泄给云存储提供商。其目的是防止监控可疑网络活动的安全系统进行标记。同时，攻击者还会尝试删除或损坏备份，这是其策略的一部分。这使得受害者更难在不支付赎金的情况下恢复数据。许多团队忽略了将安全备份保存在隔离位置的策略；但如果涉及勒索软件，这种疏忽可能会造成高昂代价。

勒索（勒索软件）

攻击者通常会在网络中花费数天或数周时间来加密和传输数据并破坏备份。当他们要求赎金时，为时已晚：受害者的数据已被加密，因此没有解密密钥将无法访问。攻击者要求数百万美元来换取此密钥，并且由于丢失如此多的数据对任何组织来说都是毁灭性的，因此这些要求通常会得到满足。

Conti 攻击还涉及数据泄露的威胁。攻击者威胁受害者，称不支付赎金就会泄露敏感信息，从而进一步实施勒索。暴露机密业务或客户数据的威胁迫使许多企业支付赎金。

Conti 攻击的历史和未来

Conti 勒索软件团伙已成为历史上最令人恐惧和最臭名昭著的网络犯罪团伙之一。在短短几年内，该组织协调了许多备受瞩目的攻击，包括对公司、医疗机构、市政当局甚至国家政府的网络攻击。

成立、成员和结构

Conti 集团出现在 2019 年或 2020 年左右，它的形成取代了另一个勒索软件和黑客团伙，即 Ryuk。与其前身一样，大多数安全分析师认为 Conti 是由黑客领导的。该组织以勒索软件即服务组织的形式运营，将其技术和基础设施出租给其他组织和黑客，后者将利用它们发起攻击。Conti 集团因成功袭击而获得佣金。

Conti 基础架构的一部分是一个网站，用于泄露成功攻击期间外泄的机密数据。该网站于 2020 年 8 月推出，到同年年底，它已经泄露了来自 150 多个组织的数据。虽然向其他黑客提供恶意软件和基础设施以换取利润在网络犯罪中并不罕见，但 Conti 集团的方法是独一无二的。

Conti 集团在攻击中发挥了更积极的作用，甚至雇用黑客作为雇员。它利用了科技公司常见的商业惯例，从事招聘工作，并承诺提供福利和高薪。曾经有一段时间，有一个活跃的人力资源部门。毫不奇怪，Conti 集团过去和现在都被认为是一个犯罪集团。

重大攻击

2021 年 3 月，Conti 潜入爱尔兰卫生服务执行局，访问了整个网络，包括 70,000 台设备。到 2021 年 5 月 14 日，Conti 已经加密了数 TB 的数据，使医院的基础设施瘫痪。Conti 表示，它已经外泄了 700 多 GB 数据，包括患者、员工和承包商的个人信息。该集团要求支付 2000 万美元来撤销他们的行动。

时任爱尔兰总理的米歇尔·马丁（Micheal Martin）在电视上宣布，政府不会支付赎金。5 月 20 日，美国联邦调查局（FBI） 发表声明 ，概述了 Conti 对美国和世界各地的医疗保健和急救人员网络的类似攻击，并要求提供有关该组织行动的任何信息。

2021 年 9 月 29 日，JVCKenwood 披露其在欧洲的一些服务器已被破坏，客户数据可能已被泄露。第二天，新闻网站 Bleeping Computer 收到了发送给 JVCKenwood 的勒索信副本，其中确认 Conti 是攻击者和勒索者。该集团在勒索信中称已经窃取了近 2 TB 的数据，并要求支付 700 万美元。

2021 年 5 月，俄克拉荷马州塔尔萨市发生了一起类似的攻击，勒索软件关闭了该市的网络，导致其在线系统中断。Conti 集团声称对此负责，并且公布了近 19,000 份文件，其中大部分是警方的罚单和内部 Word 文件。作为回应，该市发出警告称，泄露的文件中暴露了个人信息。

Conti 最臭名昭著的攻击发生于 2022 年 4 月中旬至 5 月下旬。在哥斯达黎加遭受了数周的攻击后，政府宣布进入国家紧急状态，这是第一个为应对网络攻击而这样做的国家。该勒索软件团伙攻击了数十个政府机构的网络和系统，包括财政部和劳动和社会保障部。这些毁灭性的攻击使政府损失了数百万美元，并表明黑客集团可以破坏整个国家。

品牌重塑

许多网络安全公司认为，Conti 团伙对哥斯达黎加的攻击是一个精心设计的诡计，其目的是从品牌重塑工作中吸引注意力。就在攻击开始之前，该集团已经开始解散 Conti 品牌。2022 年 5 月，网络安全公司 AdvIntel 宣布该犯罪黑客组织正式死亡。

虽然没有人确切知道，但许多专家认为，该集团在 2022 年 2 月因内部分裂而解散。2 月 27 日，一个新的 Twitter 帐户泄露了该组织超过 170,000 条内部聊天日志，以及 Conti 勒索软件的源代码。

这次泄密事件为安全分析师提供了大量信息，包括黑客用来渗透全球组织的确切工具和方法。这也表明该集团的组织性非常强，就像一家高科技初创公司一样，有既定的职位和层级，包括编码员、系统管理员、招聘人员和高管。

6 月 24 日，在对哥斯达黎加的攻击结束一个月后，Conti 集团的最后一个网站关闭，标志着历史上最臭名昭著的一个网络犯罪集团的终结。但是，那些让 Conti 变成如今这个样子的匿名黑客并没有入狱或消失。当他们进行最后的攻击时，他们悄悄散去，转向新的集团和团伙。

如何检测 Conti 攻击

顾名思义，Conti 攻击是多方面的。它涉及多个攻击载体，通常发生在数天内。由于攻击者在整个攻击过程中会使用常见、易于获取的工具，因此检测起来很困难。但是，对于那些知道要寻找什么的人来说，有一些迹象。一种方法是密切监控网络。当事件达到某个阈值时（例如登录尝试失败或扫描多个端口），实时监控工具可能会向管理员发出警报。

另一个指标是网络钓鱼电子邮件的增加。勒索软件攻击者使用网络钓鱼窃取凭据、破坏网络系统并获取访问权限。企业可以通过确保员工正确识别和标记可疑电子邮件来向安全团队发出警报，从而提高早期阶段发现攻击的机率。

如何缓解 Conti 攻击

为所有用户实施多重身份验证是保护组织免受 Conti 等勒索软件攻击 的最有效措施 之一。多重身份验证要求用户拥有两种或多种形式的身份识别才能访问安全帐户，这使得黑客极难通过泄露的密码获得访问权限。

实施和维护强大的网络分段是保护组织防范勒索软件威胁的又一步骤。网络分段通过将网络和功能彼此隔离，有助于减少恶意软件的传播，并防止 Conti 等勒索软件的横向移动。 

其他一些安全策略包括：

• 使用安全软件：使用终端和检测响应工具提高对终端安全的可见性，并防范恶意网络攻击者。设置防病毒和反恶意软件程序，以使用最新签名对网络资产执行定期扫描。
• 限制网络访问： 如果未使用远程桌面协议（RDP），请对其进行限制。如果认为有必要使用 RDP，请在评估风险后限制来源并要求进行多重身份验证。
• 利用应用程序策略： 确保及时升级所有联网软件，包括操作系统和应用程序。考虑使用集中式补丁管理系统来定义策略。
• 管理应用程序安全性： 从日常操作中删除任何不必要的应用程序，因为 Conti 威胁参与者在攻击期间会利用许多默认工具。要了解网络犯罪分子正在使用哪种现成的软件，请监控 CISA 的工具列表。

确保贵组织采用安全备份来防御勒索软件是消除数据勒索影响的最有效方法。通过制定安全、强大的备份策略，组织可以防止数据因加密和泄露而丢失 。

感染时该怎么办

网络安全是一场持久战。即使安全措施高度警惕的组织仍然可能会受到新发现的漏洞的攻击。掌握如何处理勒索软件攻击可以防止在这些情况下出现更糟糕的后果。可能的最坏结果是支付要求的赎金。

组织不应在勒索软件攻击中支付赎金。独立安全公司以及 CISA，FBI 和 NSA 一致不鼓励这样做。这样做会鼓励原始攻击者和新攻击组织进一步发起攻击。如果相关人员在支付赎金后决定不再提供解密密钥，那么组织的处境将比开始时更糟。

相反，请执行上述组织所推荐的以下步骤：

1. 按照联合勒索软件指南中的勒索软件响应清单进行操作。
2. 如果可能，使用杀毒程序扫描数据备份，以确保其未受感染。
3. 立即向 CISA、当地 FBI 外地办事处或美国特勤局外地办事处报告该事件。

在发生攻击时，组织需要迅速采取行动，以遏制损害并防止进一步蔓延。在开始恢复之前，您必须确定涉及的勒索软件类型并确定破坏程度。应首先集中精力恢复最关键的系统和数据，并采取优先方法尽量缩短停机时间并限制攻击的影响。

从勒索软件攻击中恢复是一项艰巨的任务。还原系统、服务和数据非常耗时且成本高昂，更不用说对业务运营造成的中断了。与利益相关者和客户的沟通同样重要，重建关系也同样重要。最重要的是，全面的备份和恢复策略以及执行定期测试可以最大限度地降低任何勒索软件攻击出现最坏情况的风险。

Veeam 如何助您一臂之力

针对 Conti 攻击及类似攻击的最有效勒索软件防护策略是强大的数据备份和恢复策略。借助 Veeam 的预防、检测和还原方法，组织可防止加密或损坏造成数据丢失，从而减轻勒索软件的影响。任何组织都无法幸免于勒索软件攻击，但 Veeam 可以帮助保护数据免遭不可挽回的损失，并防止卷入猖獗的网络犯罪集团。