據(jù)外媒近日報道，世界頂級珠寶品牌之一——格拉夫（Graff），遭遇了大規(guī)模的“網(wǎng)絡搶劫”。

　　—黑客竊取了其眾多富豪和明星客戶們的隱私信息

　　—據(jù)信受害者包括特朗普、大衛(wèi)·貝克漢姆等

　　—黑客要求數(shù)百萬美元贖金，否則將爆料富豪和明星們的隱私

　　—名為 Conti 的犯罪團伙是幕后黑手

　　—Conti團伙曾利用最近披露的ProxyShell 漏洞攻擊 Microsoft Exchange 服務器

　　security affairs網(wǎng)站報道簡介

　　Conti 勒索軟件團伙要求格拉夫（Graff）支付數(shù)百萬美元的贖金，否則他們就要泄露眾多明星和富豪們的隱私。

　　該公司的客戶是全球最富有的一批人，包括特朗普、大衛(wèi)·貝克漢姆、湯姆·漢克斯、塞繆爾·杰克遜、亞歷克·鮑德溫和菲利普·格林爵士等。

　　作為攻擊得手的證據(jù)，Conti 團伙已經(jīng)在其泄密網(wǎng)站上發(fā)布了大衛(wèi)·貝克漢姆、特朗普等人的購買相關文件。已公布的機密文件達到 69,000 份，內(nèi)容包括客戶名單、發(fā)票、收據(jù)和信用票據(jù)等。

　　Conti 團伙聲稱，所發(fā)布的信息涉及 Graff 的大約 11,000 名客戶，僅占被盜文件的 1%。

　　外國網(wǎng)安業(yè)內(nèi)人士稱，對客戶隱私的影響可能比購買珠寶的價值更大，如果  Graff 拒絕支付贖金，該團伙可能會試圖勒索其顧客。

　　“遺憾的是，我們與許多其他企業(yè)一樣，最近成為了犯罪分子的目標。” Graff 的一位發(fā)言人說。

　　此時，成千上萬的人已經(jīng)訪問了泄密網(wǎng)站，挖掘已發(fā)布的文件，以尋找敏感信息。

　?。℅raff珠寶。圖片來源于網(wǎng)絡）

　　Conti 勒索軟件團伙

　　Conti 團伙是最活躍、最具侵略性的勒索軟件團伙之一。

　　Conti 團伙運行著一個私有的勒索軟件即服務 （RaaS），該惡意軟件于 2019 年 12 月底出現(xiàn)在威脅環(huán)境中，并通過 TrickBot 感染進行傳播。專家推測，這些運營商是俄羅斯網(wǎng)絡犯罪組織 Wizard Spider 的成員。Wizard Spider 也被認為是另一個臭名昭著的黑客組織 Ryuk 的幕后黑手。

　　自 2020 年 8 月以來，Conti團伙還經(jīng)營著一個名為Conti News的泄密網(wǎng)站，該網(wǎng)站列出了受害名單并公開泄露竊取數(shù)據(jù)，以威脅受害者。

　　Conti團伙屬于雙重勒索軟件陣營，在以勒索軟件加密系統(tǒng)之前，會先下載未加密的機密資料，以在受害者拒絕支付贖金以換取解密密鑰時作為進一步的勒索籌碼。Conti被認為是流行的Ryuk勒索軟件家族的變種，越來越多的攻擊者通過與過去傳播Ryuk相同的方法傳播惡意軟件。例如，Trickbot/Emotet等銀行木馬和BazarLoader惡意軟件現(xiàn)在都被用來傳播Conti。Conti團伙使用了雙重威脅策略，即保留解密密鑰并出售或泄露受害者的敏感數(shù)據(jù)。一旦惡意軟件感染了受害系統(tǒng)，它會嘗試橫向移動以訪問更敏感的內(nèi)容。此外，Conti團伙通過使用多線程來快速加密文件。

　　今年以來涉及Conti團伙的部分事件

　　蘇格蘭環(huán)保局遭遇攻擊

　　2021年1月，蘇格蘭環(huán)境保護局 （SEPA）遭遇Conti勒索軟件攻擊，被竊取1.2GB數(shù)據(jù)。在襲擊發(fā)生近一個月后，該局的服務仍然中斷。在該局拒絕支付贖金后，黑客發(fā)布了數(shù)千個被盜文件，并發(fā)布了4000多份與合同、商業(yè)服務和戰(zhàn)略有關的文件和數(shù)據(jù)庫。

　　佛羅里達學校遭遇攻擊

　　2021年2月，佛羅里達州布勞沃德縣公立學區(qū)（Broward County Public Schools，BCPS）遭遇Conti勒索軟件攻擊，被索要四千萬美元贖金。該學區(qū)是美國第六大學區(qū)，也是佛羅里達州第二大學區(qū)。Conti團伙表示已經(jīng)對該學區(qū)服務器進行了加密，并竊取了超過1TB的數(shù)據(jù)文件，其中包括學生和員工的個人信息、合同以及財務文件。

　　愛爾蘭醫(yī)療機構HSE遭遇攻擊

　　2021年5月，愛爾蘭醫(yī)療機構HSE遭遇Conti勒索軟件攻擊，被索要2000萬美元贖金。該機構在發(fā)現(xiàn)攻擊后關閉了所有IT系統(tǒng)。但Conti團伙聲稱進入該機構的網(wǎng)絡已達兩周，在此期間，他們竊取了700GB的未加密文件，包括患者信息和員工信息、合同、財務報表和工資單等。

　　FBI就Conti發(fā)布警告

　　2021年5月，美國聯(lián)邦調(diào)查局 （FBI） 稱，Conti勒索軟件在過去的一年中，襲擊了美國至少16個醫(yī)療保健和緊急服務機構，影響了超過400個全球組織，其中290個位于美國。

　　Conti團伙自行泄露攻擊手冊

　　2021年8月5日，Conti團伙因內(nèi)部分贓不均，導致其下屬組織將其內(nèi)部資料以及工具公開。被公開的文件中包含了竊取數(shù)據(jù)、檢測殺軟、對抗殺軟、網(wǎng)絡掃描、遠程控制等各方面的工具；還有一份詳細的攻擊教程，列出了該團伙的攻擊步驟，其大體的攻擊思路主要包括：通過獲取設備訪問權限，了解設備所屬公司，再重點了解該公司的收入情況等；通過獲取設備訪問權限，在內(nèi)網(wǎng)繼續(xù)橫向滲透；獲取更多設備權限后部署遠控軟件，為后續(xù)攻擊操作做好準備；在內(nèi)網(wǎng)設備中掃描文件，通過文件名認定可能有價值的文件，并利用同步數(shù)據(jù)軟件回傳這些數(shù)據(jù)；部署勒索軟件等。

　　CISA、FBI和NSA就Conti發(fā)布警告

　　2021年9月，美國國土安全部網(wǎng)絡安全和基礎設施安全局（CISA）、聯(lián)邦調(diào)查局 （FBI） 和國家安全局 （NSA） 稱，Conti團伙針對美國組織的勒索軟件攻擊數(shù)量有所增加。

　　警告稱：“CISA和FBI觀察到，在對美國和國際組織的400多次攻擊中，Conti 勒索軟件的使用有所增加。在典型的Conti勒索軟件攻擊中，惡意網(wǎng)絡攻擊者會竊取文件、加密服務器和工作站，并要求支付贖金。為了保護系統(tǒng)免受Conti勒索軟件的侵害，CISA、FBI和NSA建議實施本公告中描述的緩解措施。”

　　警告中提供的緩解措施包括：使用多重身份驗證；實施網(wǎng)絡分段和過濾流量；掃描漏洞并保持軟件更新；刪除不必要的應用程序并應用控制；實施端點和檢測響應工具；限制對網(wǎng)絡資源的訪問，尤其是通過限制 RDP；保護用戶帳戶等。

　　Conti曾利用ProxyShell 漏洞攻擊 Microsoft Exchange 服務器

　　2021年9月，securityaffairs網(wǎng)站曾發(fā)布文章稱，Conti勒索軟件團伙正在利用最近披露的ProxyShell漏洞攻擊Microsoft Exchange服務器。我們對該文作了編譯如下，以供讀者參考。

　　ProxyShell是三個漏洞的名稱，未經(jīng)身份驗證的遠程攻擊者可以通過鏈接這些漏洞在 Microsoft Exchange服務器上執(zhí)行代碼。

　　ProxyShell 攻擊中使用的三個漏洞是：

　　CVE-2021-34473 – 預驗證路徑混亂導致ACL繞過（KB5001779于4月修補 ）

　　CVE-2021-34523 – Exchange PowerShell后端的特權提升 （KB5001779于 4 月修補）

　　CVE-2021-31207 – 授權后任意文件寫入導致RCE（KB5003435于5月修補 ）

　　這些漏洞是通過在 IIS 中的端口 443 上運行的 Microsoft Exchange 的客戶端訪問服務 （CAS） 遠程利用的。

　　這些漏洞是由Devcore的安全研究員Tsai orange發(fā)現(xiàn)的，在2021 年4 月的Pwn2Own 黑客大賽中，這些問題獲得了 200,000 美元的獎金。

　　來自Sophos的研究人員發(fā)現(xiàn)，攻擊者利用Microsoft Exchange ProxyShell漏洞破壞了網(wǎng)絡。Conti團伙正試圖將使用Exchange Server的組織作為目標，這些組織尚未更新其安裝。一旦獲得網(wǎng)絡訪問權限，Conti首先會投放 web shell來執(zhí)行命令并破壞服務器，然后手動部署勒索軟件以感染網(wǎng)絡上盡可能多的系統(tǒng)。

　　“在Sophos觀察到的一組基于ProxyShell的攻擊中，Conti成功獲得了對目標網(wǎng)絡的訪問權限，并在一分鐘內(nèi)設置了一個遠程web shell。三分鐘后，他們安裝了第二個備份web shell。在30分鐘內(nèi)，他們生成了網(wǎng)絡計算機、域控制器和域管理員的完整列表。僅僅四個小時后，Conti就獲得了域管理員帳戶的憑據(jù)并開始執(zhí)行命令?！?Sophos稱，“在獲得初始訪問權限后的 48 小時內(nèi)，攻擊者已經(jīng)泄露了大約1TB的數(shù)據(jù)。五天后，他們將Conti勒索軟件部署到網(wǎng)絡上的每臺機器上，專門針對每臺計算機上的單個網(wǎng)絡共享?！?/p>

　　專家注意到，勒索軟件團伙在目標網(wǎng)絡上安裝了幾個后門、幾個 web shell、Cobalt Strike以及AnyDesk、Atera、Splashtop 和 Remote Utilities 商業(yè)遠程訪問工具。

　　一旦獲得對目標網(wǎng)絡的訪問權限，勒索軟件團伙就會將竊取的數(shù)據(jù)上傳到MEGA文件共享服務器。五天后，該組織開始對網(wǎng)絡上的設備進行加密，并從未受保護的服務器發(fā)起攻擊。

　　寫在文末

　　總部位于倫敦的格拉夫（Graff）由勞倫斯·格拉夫 （Laurence Graff） 創(chuàng)立，是世界最頂級珠寶品牌之一，以鉆石著稱。有網(wǎng)絡專家認為，勒索者可能會要求以無法追蹤的網(wǎng)絡貨幣（例如比特幣）、甚至珠寶來付款。

　　有外媒稱，“格拉夫突襲”可能是有史以來最大的“鉆石搶劫”案——雖然沒有一顆鉆石被親手觸及；大量富有和著名的格拉夫客戶的隱私信息，已經(jīng)在“暗網(wǎng)”上被曝光，而下一步還可能會出現(xiàn)更多受害者。