conti-intel-firmware

Conti Ransomware er målrettet til Intel firmware

Firmware hack er de værste angreb da de sjældent opdages af operativsystemet eller antivirus software

Kriminelle russiske og kinesiske hackere stjæler IP rettigheder, kreditkort, hemmelige dokumenter og hemmeligheder fra virksomheder, nogle af dem forbliver uopdagede i årevis mens Ransomware grupper jo henvender sig og beder om penge.

Forskere, der analyserer de lækkede chats af den berygtede Conti ransomware-operation, har opdaget, at et team inde i den russiske cyberkriminalitetsgruppe aktivt udviklede firmware-hacks. Man kan læse mere om firmwarehack her.

Ifølge meddelelser, der blev udvekslet mellem medlemmer af cyberkriminalitetssyndikatet, conti-udviklere havde skabt proof-of-concept (PoC) kode, der udnyttede Intels Management Engine (ME) til at overskrive flash og for at opnå SMM (System Management Mode) udførelse.

ME er en integreret mikrocontroller i Intel-chipsæt, der kører et mikro-OS for at levere out-of-band-tjenester. Conti har målrettet undersøgelse af denne komponent for at finde udokumenterede funktioner og kommandoer, de kunne udnytte.

Derfra, Conti kunne få adgang til flashhukommelsen, der var vært for UEFI / BIOS-firmware. Dernæst kan man omgå skrivebeskyttelse, og udføre vilkårlig kodekørsel på det kompromitterede system.

Det endelige mål ville være at droppe et SMM-implantat, der ville køre med de højest mulige systemrettigheder (ring-0), mens det praktisk talt ikke kan opdages fra sikkerhedsværktøjer på OS-niveau fordi det ikke kan scannes.

Det er vigtigt at bemærke, at i modsætning til TrickBots modul, der målrettede UEFI-firmwarefejl, hjælper Conti-infektioner og senere foretages af ransomware-gruppen, de nye resultater tyder på, at de ondsindede ingeniører stræbte efter at opdage nye, ukendte sårbarheder i ME.

I februar, mere end 60,000 meddelelser blev lækket fra backend af en Jabber-server, som Conti ransomware-gruppen brugte til intern kommunikation, går tilbage til januar 2021. Digital Shadows har undersøgt lækagen og bragt den i kontekst med sin egen forskning, hvilket giver et sjældent kig ind i cyberkriminelle gruppes indre arbejde.

Den Conti ransomware gruppe er en af de mest produktive ransomware grupper i øjeblikket i drift. Gruppen hævder at have kompromitteret 50+ nye ofre, såsom Oiltanking Deutschland GmbH og Mabanaft Deutschland GmbH.

I marts, hvor den ukrainske cybersikkerhedsforsker, der lækkede chats, opdagede man også et adgangskodebeskyttet arkiv, som indeholdt en ældre version af Conti ransomware-kildekoden, samt kildekoden til version tre af ransomware til VirusTotal, et websted oprettet af det spanske sikkerhedsfirma Hispasec Sistemas.

Firmwareangreb i ransomware

For at et firmwareangreb skal være muligt, skal ransomware-aktørerne først få adgang til systemet via en fælles vej såsom phishing, udnyttelse af en sårbarhed eller udførelse af et forsyningskædeangreb.

Efter at have kompromitteret offeret, bliver angriberne nødt til at følge en angrebsplan baseret på, hvilke “out-of-write protection” -regioner, de har adgang til, afhængigt af ME-implementeringen og forskellige begrænsninger / beskyttelser.

Eclypsium siger, at disse enten kan være adgang til at overskrive SPI-deskriptoren og flytte UEFI / BIOS uden for det beskyttede område eller direkte adgang til BIOS-regionen.

Der er også scenariet med, at ME ikke har adgang til nogen af dem, i hvilket tilfælde trusselsaktørerne kunne udnytte Intels Management Engine til at tvinge en boot fra virtuelle medier og låse op for PCH-beskyttelse, der understøtter SPI-controlleren.

Conti kunne bruge denne angrebsstrøm til at mure systemer permanent, opnå ultimativ vedholdenhed, undgå antivirus- og EDR-registreringer og omgå alle sikkerhedskontroller i OS-laget.

Conti væk, men koden lever stadig

Mens Conti-operationen ser ud til at være lukket ned, er mange af dens medlemmer flyttet til andre ransomware-operationer, hvor de fortsætter med at udføre angreb.

Dette betyder også, at alt det arbejde, der er gjort for at udvikle udnyttelser som den, der er spottet af Eclypsium i de lækkede chats, fortsat vil eksistere.

Som forskerne forklarer, Conti havde en fungerende PoC for disse angreb siden sidste sommer, så det er sandsynligt, at de allerede havde chancen for at anvende det i faktiske angreb.

Raas kan vende tilbage i en rebranded form, kernemedlemmerne kan deltage i andre ransomware-operationer, og samlet, udnyttelserne vil fortsat blive brugt.

For at beskytte mod truslerne skal du anvende de tilgængelige firmwareopdateringer til din hardware, overvåge ME for konfigurationsændringer og kontrollere SPI-flashens integritet regelmæssigt.

Kilde: Bleebing Computer
Fotokredit: Intel

Cybersikkerhed & Nyheder

Kilde: BBC
| | | |

Lækkede hackerlogfiler viser svagheder i Ruslands cyberproxy-økosystem

afHenning Sand Sørensen Conti, Cybersecurity, Datasikkerhed, Malware, Ransomware

Nyligt lækkede dokumenter fra Conti-banden giver fingerpeg om, hvordan vestlige regeringer og CISO’er bedre kan bekæmpe russiske proxy-hackere. I næsten fire årtier har stater brugt stedfortrædende aktører til at udføre cyberoperationer. Dermed drager de fordel af forskellige lavintensitetsindsatser, der chikanerer, undergraver og indbrud i udenlandske konkurrenter og ofte skaber gunstige betingelser uden at risikere eskalering….

CISA opfordrer administratorer til at patche Zyxel-fejl
| | | | | |

CISA opfordrer administratorer til at patche Zyxel-fejl

afHenning Sand Sørensen CISA, Cybersikkerhed, Firmware, Hacking, Malware, Patches, Zyxel

Cybersecurity and Infrastructure Security Agency (CISA) har tilføjet yderligere to sårbarheder til sin liste over aktivt udnyttede fejl, en kodeinjektionsfejl i Spring Cloud Gateway-biblioteket og en kommandoinjektionsfejl i Zyxel-firmware til forretningsfirewalls og VPN-enheder. Spring Framework-sårbarheden (CVE-2022-22947) er en maksimal sværhedsgradssvaghed, som hackere kan misbruge til at få fjernudførelse af kode på ikke-patchede værter. Denne kritiske…

security and crime
| | | | | |

Hvordan LockBit blev den mest populære ransomware

afHenning Sand Sørensen Conti, Cybersecurity, IT-Sikkerhed, Lockbit, Malware, Phishing, Ransomware

Kriminel brug af LockBit ransomware-as-a-service (Raas) operationer vokser hurtigt takket være opdateringer til malware og nedgangen i andre ransomware-bander. LockBit er en af de mest fremtrædende Raas, der har målrettet organisationer i løbet af de sidste mange år. Siden lanceringen i 2019, har LockBit konstant udviklet sig og har hidtil uset vækst drevet af andre…

Conti denne tids mest aggressive kriminelle hackergruppe
| | | | | | | | |

Conti denne tids mest aggressive kriminelle hackergruppe

afHenning Sand Sørensen Conti, Cybersecurity, DeKryptering, Hacking, IT-Sikkerhed, Kryptering, Malware, Multifaktorgenkendelse, Penetrationstest, Ransomware

Er man ramt af ransomware fra Conti er mindre tilbøjelige til at hjælpe ofrene med at gendanne krypterede filer og mere tilbøjelige til at lække stjålet data. Conti har været en af de mest aggressive ransomware operationer i løbet af de sidste to år og fortsætter med at angribe mange store virksomheder samt offentlige myndigheder,…

Illum er ramt af Conti Ransomware der vil sælge og publicere alle data
| |

Illum er ramt af Conti Ransomware der vil sælge og publicere alle data

afMichael Rasmussen Conti, Cybersecurity, Ransomware

Der ligger en smagsprøve på Darkweb for tiden hvortil Illum kan verificere at de er blevet tømt for data på sine servere, men som det fremgår er der tale om blandt andet ansættelseskontrakter, personlige medarbejder ID, kundeoplysninger og ikke mindst kreditkort information. Dette hackertilfælde har intet at gøre med Illums Bolighus, der har 15 butikker…

Hacking OT
| |

De mest aktive ransomware-grupper rettet mod industrisektoren

afHenning Sand Sørensen Conti, IT-Sikkerhed, Lockbit

Ransomwareangreb blev udvidet til den industrielle sektor sidste år i en sådan grad, at den type hændelser blev nummer et trussel i den industrielle sektor. To ransomware grupper, LockBit og Conti, har været mest aktive og kompromitterende mod organisationer med et Industrial Control System (ICS) / Operational Technology (OT) miljø i 2021. Ransomware trussel er…