Conti krypterer 4,000 computere og 120 VMware ESXi servere.

Conti Ransomware banden kræver millioner af dollars som en løsesum. Før dette har Ransomware banden krypteret enheder på virksomhedernes netværk. De har haft dagevis, hvis ikke uger, til at udføre ovevågning på netværket. Fordi det er sket i juletiden har de også haft mange dage til at stjæle virksomhedens data og dokumenter og kryptere computere og servere. Denne overvågningssoftware er angiveligt aktiv også efter betaling.

Det står uklart om man kan lave dekryptering, men de mener vi ikke er muligt med denne version. Der er angiveligt tilkaldt en Gidselforhandler til at varetage kommunikationen mellem hackergruppen og offeret. Men det er helt almindeligt for Conti at offentliggøre data, hvis ikke der betales.

Her er hvad vi ved:

  1. Det er ukendt hvilken metode der er anvendt med vort bedst gæt i dag er LOG4J sikkerhedshullet som mange virksomheder ikke har taget alvorligt
  2. Conti har oprettet en privat Shutterfly datalækage side, der indeholder screenshots af filer angiveligt stjålet under ransomware angreb, som en del af denne “dobbelt-afpresning” taktik. Angriberne truer med at offentliggøre denne side, hvis der ikke betales en løsesum.
  3. På Darkweb og på deres egne servere er der den sædvanlige smagsprøve, så de kan se hvad der publiceres hvis de nægter at betale. På Darkweb kan filerne ikke åbnes.
    Hackerne påstår at der er tale om juridiske aftaler, bank- og handelskontooplysninger, loginoplysninger til firmatjenester, regneark og hvad der ser ud til at være kundeoplysninger, herunder de sidste fire cifre af kreditkort.
  4. Derfor skal alle der har benyttet tjenesten blokere og udskifte kreditkort.
  5. Tjenesten Shutterfly understøtter også andre services f.eks. GrooveBook, BorrowLenses, Shutterfly.com, Snapfish og Lifetouch.
  6. Hovedwebstedet kan bruges til at uploade fotos til at oprette fotobøger, lykønskningskort, gavekort, postkort og meget mere.
  7. Conti hævder tillige at have kildekoden til Shutterflys butik.
  8. Shutterfly blev angiveligt kontaktet den 24/12 om angrebet

Denne erklæring, vist i sin helhed nedenfor, siger, at Shutterfly.com, Snapfish, TinyPrints, eller Spoonflower sites ikke blev påvirket af angrebet. Men deres virksomhedsnetværk, Lifetouch, BorrowLeneses og Groovebook, havde afbrudt tjenesterne.

“Shutterfly, LLC recently experienced a ransomware attack on parts of our network. This incident has not impacted our Shutterfly.com, Snapfish, TinyPrints or Spoonflower sites. However, portions of our Lifetouch and BorrowLenses business, Groovebook, manufacturing and some corporate systems have been experiencing interruptions. We engaged third-party cybersecurity experts, informed law enforcement, and have been working around the clock to address the incident.”

“As part of our ongoing investigation, we are also assessing the full scope of any data that may have been affected. We do not store credit card, financial account information or the Social Security numbers of our Shutterfly.com, Snapfish, Lifetouch, TinyPrints, BorrowLenses, or Spoonflower customers, and so none of that information was impacted in this incident. However, understanding the nature of the data that may have been affected is a key priority and that investigation is ongoing. We will continue to provide updates as appropriate.” – Kilde: Shutterfly

Shutterfly skriver, at ingen finansielle oplysninger blev offentliggjort, Bleeping Computer fandt dog, at en af de screenshots indeholder de sidste fire cifre af kreditkort, så det er uklart, om der er yderligere, og mere om, oplysninger stjålet under angrebet.

Hvem er Conti Ransomware banden ?

Conti er en farlig coctail af hackere der bruger moderne hacking teknikker. Ransomware operationerne menes at være drevet af en russisk hacking gruppe kendt for andre berygtede malware infektioner, såsom Ryuk, TrickBot, og BazarLoader.

Denne operation kører som en Ransomware-as-a-Service, hvor kerneteamet udvikler ransomware, vedligeholder betalings- og datalækagewebsteder og forhandler med ofre. De rekrutterer derefter “Affiliates”, der bryder virksomhedens netværk, stjæler data og krypterer enheder. Disse kan sagtens være f.eks. ansatte fra de virksomheder der er ofre. På den måde er der tale om medarbejderkriminalitet i form af medarbejderhævn eller medarbejdersabotage som følge af utilfredshed eller starten på en kriminel løbebane.

Som en del af denne ordning, bliver løsesum betalinger er delt mellem kernegruppen og affiliate, hvor affiliate normalt modtager 70-80% af det samlede beløb. Det kan friste mange men det står uklart om det er tilfældet herover.

Conti bryder ofte ind i et netværk, efter at en computer bliver inficeret med BazarLoader- eller TrickBot-malwareinfektioner, som giver fjernadgang til virksomhedens servere og dermed hackinggruppen.

Når de får adgang til et internt system, så spredes infektionerne gennem netværket, og de stjæler data herunder, databaser, dokumentermapper, zip filer og selve ransomware kryptere alle eller delkryptere filer, således at de ikke kan læses uden en nøgle.

Hele operationen tager nogle få minutter hvis der er tale om SSD og der ikke er så mange data. Når dette er udført downloades data og kilder kan evt. slettes eller forbliver krypteret.

Conti er tidligere kendt for angreb på andre højt profilerede organisationer, herunder Irlands Health Service Executive (HSE) og Department of Health (DoH), byen Tulsa, Broward County Public Schools og Advantech.

På grund af den øgede aktivitet som denne cyberkriminalitet bande udøver, har den amerikanske regering for nylig udstedt en rådgivende om Conti ransomware angreb.

Kilde: Blepping Computer
Fotokredit: Shutterfly

Scroll til toppen