Conti ransomware-gänget driver fortfarande aktivt kampanjer mot offer runt om i världen, trots att gruppens inre arbete avslöjas av dataläckor.
En av de mest produktiva ransomware-grupperna under det senaste året, Conti har krypterat nätverk av sjukhus, företag, statliga myndigheter och mer – i många fall fått en betydande lösensumma i utbyte mot dekrypteringsnyckeln.
Liksom många av de ökända cyberkriminella ransomware-operationerna tror många cybersäkerhetsexperter att Conti tar slut från Ryssland – och i februari kom medlemmar av Conti ut för att stödja den ryska invasionen av Ukraina.
Kort efter det dök Conti-läckorna upp, identifierade individer som var inblandade i gänget och publicerade dagliga chattloggar, anställningsmetoder och andra inre funktioner i outfiten. Men det offentliga avslöjandet av bakom kulisserna operationer på Conti verkar inte ha stoppat gänget – cybersäkerhetsforskare på NCC Group har detaljerat hur cyberattacker har fortsatt sedan läckorna.
Angriparna använder ett antal initiala åtkomstvektorer för att få fotfäste på nätverk, inklusive nätfiske-e-postmeddelanden som innehåller Qakbot-trojanskadlig programvara och utnyttjande av sårbara Microsoft Exchange-servrar. Andra tekniker inkluderar användningen av allmänt tillgängliga exploateringar, inklusive sårbarheter i VPN-tjänster och Log4J java-bibliotek. Angriparna skickar också nätfiske-e-postmeddelanden med legitima intrångade konton.
SER: Cybersäkerhet: Låt oss bli taktiska (ZDNet specialrapport)
Tillsammans med att kryptera nätverk och kräva betalning för dekrypteringsnyckeln är ett av de viktigaste kännetecknen för Conti ransomware-attacker att stjäla känslig data från offer och hota att publicera den om lösensumman inte betalas.
Kanske inte överraskande, att själva vara offer för informationsläckor har inte gjort att Conti har ändrat sin taktik, och de fortsätter att stjäla betydande mängder data från offer för att använda som extra hävstång i dubbla utpressningsattacker.
Conti och andra ransomware-grupper är fortfarande ett hot mot företag och vardagstjänster, men det finns åtgärder som kan vidtas för att undvika att bli offer för en förödande cyberattack.
Enligt forskare kommer många Conti-kampanjer att utnyttja opatchade sårbarheter för att få initial tillgång till nätverk, så företag bör se till att säkerhetskorrigeringar för kända sårbarheter tillämpas så snabbt som möjligt för att hjälpa till att blockera potentiella intrång.
Utöver detta bör robusta lösenordspolicyer tillämpas och multifaktorautentisering rullas ut till alla användare.
Informationssäkerhetsteam bör också övervaka nätverk för potentiellt misstänkt aktivitet, för även om angripare är inne i nätverket, om de upptäcks innan en ransomware-attack utlöses, kan det förhindras.
MER OM CYBERSÄKERHET
