У чатах ContiLeaks розкрито понад 30 вразливостей, використаних Conti Ransomware. Як Tenable може допомогти?
Витоки внутрішніх чатів між членами групи здирників Conti дозволяють зазирнути в її внутрішні справи та отримати цінні відомості, включаючи докладну інформацію про більш ніж 30 вразливостей, що використовуються групою та її філіями, а також специфіку її процесів після проникнення в мережу, наприклад, як вона націлюється на Active Directory.
У цій статті Tenable пропонує довідкову інформацію про Conti - одну з найбільш продуктивних груп здирників, що діють сьогодні, - вивчимо витік інформації та запропонуємо конкретні поради про те, як захистити вашу організацію від атак Conti.
Довідкова інформація
Публікація ContiLeaks з'явилася 27 лютого - справа рук можливого члена групи Conti, яка займається розповсюдженням здирницького ПЗ. Цей анонім виклав у відкритий доступ серію внутрішніх чатів між членами групи.
Це не перший випадок витоку конфіденційної інформації про групу. У серпні 2021 року одна з філій Conti опублікувала збірку навчальних матеріалів, наданих афілійованим особам, що дозволило вперше отримати уявлення про роботу групи здирників.
Ці витоки дозволили дослідникам проаналізувати більшу кількість тактик, технік та процедур, які розробляють індикатори компрометації, пов'язані з цією групою.
Дослідники з Breach Quest опублікували 9 березня статтю з аналізом ContiLeaks, в якій наведено список вразливостей, які група, можливо, використала для атак на організації.
Що таке Conti?
Вперше виявлена дослідниками з Carbon Black у 2020 році, Conti - це група здирників, яка використовує модель ransomware-as-a-service (вимагання як послуга) для розгортання програми-вимагача Conti.
Ransomware-as-a-Service (RaaS) пропонується групами вимагачів та надає афілійованим особам - кіберзлочинцям, які бажають співпрацювати з групами RaaS, - доступ до готового до впровадження здирницького ПЗ, а також посібник з проведення атак. Групи RaaS отримують невелику частку виплачених викупів, надаючи основну частину прибутку афілійованим особам.
За останні два роки компанія Conti набула широкої популярності, отримавши, за даними Chainalysis, 180 мільйонів доларів прибутку від своїх атак. Вона також здобула популярність завдяки атакам на сектор охорони здоров'я, включаючи щонайменше 16 мереж охорони здоров'я та надзвичайних ситуацій у США.
Найбільш помітною стала атака Конті на Управління охорони здоров'я Ірландії (HSE) у травні 2021 року, під час якої група зажадала викуп у розмірі 20 мільйонів доларів, який HSE відмовився платити.
Те, що Conti приділяє особливу увагу сектору охорони здоров'я, не дивно. У нашому звіті "Ретроспектива ландшафту загроз 2021 року" було виявлено, що 24,7% випадків порушення даних у охороні здоров'я були результатом атак з використанням здирницького ПЗ, а саме вимагацьке ПЗ спричинило 38% усіх порушень, про які стало відомо минулого року.
Які вразливості використовує Conti та її афілійовані особи?
Групи розробників Ransomware, такі як Conti, використовують різні тактики для проникнення в мережі потенційних цілей. До них відносяться фішинг, шкідливе ПЗ та атаки грубої сили на протокол віддаленого робочого столу.
Conti також була пов'язана з EXOTIC LILY, групою брокерів початкового доступу (IAB). IAB спрямовані на отримання шкідливого доступу до організацій з метою продажу цього доступу групам та афілійованим особам, які займаються розсилкою здирницького ПЗ. Однак експлуатація вразливостей автентифікації до і після також відіграє важливу роль в атаках програм-вимагачів.
У рамках витоку інформації про партнерські програми було видно повідомлення про те, що Conti та її філії використовували вразливості PrintNightmare та Zerologon проти цілей. Однак ContiLeaks розкрив ще 29 вразливостей, які використовується групою.
Крім того, є повідомлення, що Conti та її філії використовували уразливості у Fortinet FortiOS, виявлені у пристроях Fortinet SSL VPN, для отримання початкового доступу до цільових середовищ.
Нижче наводиться розбивка типів вразливостей, що використовуються компанією Conti та її афілійованими особами:
Вразливість початкового доступу
CVE |
Description |
CVSS Score |
VPR |
Fortinet FortiOS Path Traversal/Arbitrary File Read Vulnerability |
9.8 |
9.8 |
|
Fortinet FortiOS Improper Access Control Vulnerability |
8.8 |
8.4 |
|
Windows SMBv3 Client/Server Remote Code Execution Vulnerability (“SMBGhost”) |
10 |
10.0 |
|
Windows Remote Desktop Gateway (RD Gateway) Remote Code Execution Vulnerability |
9.8 |
8.4 |
|
Microsoft Exchange Validation Key Remote Code Execution Vulnerability |
8.8 |
9.9 |
|
VMware vSphere Client Remote Code Execution Vulnerability |
9.8 |
9.5 |
|
VMware vSphere Client Remote Code Execution Vulnerability |
9.8 |
9.4 |
|
VMware vCenter Server Remote Code Execution Vulnerability |
9.8 |
9.6 |
|
Microsoft Exchange Server Remote Code Execution Vulnerability ("ProxyLogon") |
9.8 |
9.9 |
*Зверніть увагу: рейтинг пріоритету вразливостей Tenable (VPR) розраховується щоночі. Це повідомлення в блозі було опубліковане 24 березня і відображає VPR в той час.
Вразливості, пов'язані з несанкціонованим отриманням прав
CVE |
Description |
CVSS Score |
VPR |
Win32k Memory Corruption Elevation of Privilege Vulnerability |
6.9 |
9.6 |
|
Windows Win32k Elevation of Privilege Vulnerability |
7.8 |
9.7 |
|
Windows Elevation of Privilege Vulnerability |
7.8 |
9.7 |
|
Windows Win32k Elevation of Privilege Vulnerability |
7 |
9.8 |
|
Microsoft Windows Elevation of Privilege Vulnerability |
7.8 |
9.0 |
|
Windows Elevation of Privilege Vulnerability |
7.8 |
9.8 |
|
Windows Elevation of Privilege Vulnerability |
7.8 |
9.2 |
|
Windows Task Scheduler Elevation of Privilege Vulnerability |
7.8 |
9.0 |
|
Windows Elevation of Privilege Vulnerability |
7.8 |
8.9 |
|
Windows Elevation of Privilege Vulnerability |
7.8 |
6.7 |
|
Windows Elevation of Privilege Vulnerability |
7.8 |
9.5 |
|
Windows Elevation of Privilege Vulnerability |
7.8 |
9.7 |
|
Windows Error Reporting Manager Elevation of Privilege Vulnerability |
7.8 |
9.0 |
|
Microsoft Windows Elevation of Privilege Vulnerability |
7.8 |
9.0 |
|
Windows AppX Deployment Extensions Elevation of Privilege Vulnerability |
7.8 |
5.9 |
|
Windows Certificate Dialog Elevation of Privilege Vulnerability |
7.8 |
8.4 |
|
Windows UPnP Service Elevation of Privilege Vulnerability |
7.8 |
9.7 |
|
Win32k Elevation of Privilege Vulnerability |
7.8 |
9.7 |
|
Update Notification Manager Elevation of Privilege Vulnerability |
7.8 |
5.9 |
|
Windows Background Intelligent Transfer Service Elevation of Privilege Vulnerability |
7.8 |
9.7 |
|
Windows Netlogon Elevation of Privilege Vulnerability ("Zerologon") |
10 |
10.0 |
|
Windows Print Spooler Remote Code Execution Vulnerability |
8.8 |
9.8 |
|
Windows Win32k Elevation of Privilege Vulnerability |
7.8 |
9.8 |
|
Windows Print Spooler Remote Code Execution Vulnerability ("PrintNightmare") |
8.8 |
9.8 |
Також відомо, що Conti та її філії використовували CVE-2021-44228, також відомий як Log4Shell, в рамках атак, що почалися наприкінці 2021 року.
Використання вразливостей, пов'язаних із підвищенням привілеїв
При розгляді впливу різних вразливостей, розкритих безпосередньо у повідомленнях ContiLeaks, виявилась цікава закономірність: майже три чверті вразливостей у списку - це вразливості з підвищенням привілеїв, що говорить про те, що група переважно використовує вразливості, що підтримують дії після експлуатації.
Враховуючи, що ця група та її філії можуть знайти різні точки входу в організацію поза вразливістю, але для того, щоб посіяти хаос, їм необхідно підвищити привілеї, не дивно, що більшість їх інструментарію щодо вразливостей зосереджена на підвищенні привілеїв.
Conti та Active Directory
Завдяки ContiLeaks було відомо, що Conti слідує певному набору кроків, як тільки потрапляє до мережі. Щоб атакувати Active Directory (AD), група шукатиме привілеї адміністратора домену, що є звичайним явищем для програм-вимагачів.
Для груп здирників – Active Directory є цінним інструментом, що допомагає досягти поставленої мети – зашифрувати системи в мережі організації.
За даними BreachQuest, Conti та її філії намагатимуться використовувати Zerologon для отримання привілеїв адміністратора домену або шукатимуть "потенційно цікавих людей" в AD організації.
Група та її філії націлені на AD за допомогою різних засобів, у тому числі:
Рішення
Більшість вразливостей, використовуваних групою програм-вимагачів Conti та її філіями, було виправлено за останні кілька років. Найстаріша вразливість у цьому списку була виправлено шість років тому у 2015 році.
Ідентифікація вразливих систем
Список плагінів Tenable для виявлення цих вразливостей можна знайти тут.
Щоб клієнти могли виявити всі відомі вразливості, що використовуються групою здирників Conti та її філіями, Tenable скоро випустить шаблони сканування, а панелі інструментів для Tenable.io, Tenable.sc та Nessus Professional доступні вже зараз.
Шаблон сканування ContiLeaks
Панель моніторингу ContiLeaks для Tenable.io
Панель моніторингу ContiLeaks для Tenable.sc
Звіт ContiLeaks від Tenable.sc
Для отримання додаткової інформації про панелі моніторингу та звіти, будь ласка, зверніться до наступних статей:
Індикатори експозиційної вистави в Tenable.ad
Для клієнтів, які хочуть захищати Active Directory у компанії є рішення - Tenable.ad для виявлення та запобігання у вигляді індикаторів впливу (IoE) і індикаторів атак (IoA). IoE - це запобіжний спосіб пошуку та усунення прогалин в інфраструктурі AD для усунення шляхів атак для груп програм-вимагачів та інших кіберзлочинців, тоді як IoA виявляють атаки в режимі реального часу.
Приклад попередження IOA про "розпилення паролів"
Нижче наведено список IoEs та IoAs, отриманих з результатів у ContiLeaks:
Tactics |
MITRE ATT&CK |
Solutions |
Type |
Discovery (e.g. BloodHound) |
Т1087.001, Т1087.002, Т1106, Т1069.001, Т1069.002 |
Enumeration of local administratorsMassive computers reconnaissance |
IoA |
Privilege Escalation (Golden Ticket) |
Т1558.001 |
IoA |
|
Privilege Escalation (Zerologon) |
Т1068 |
IoE |
|
Credential Access (Bruteforce, Password Spraying) |
Т1110.001, Т1110.002, Т1110.003, Т1110.004 |
IoA |
|
Credential Access (Collection and decryption of GPP Passwords) |
Т1552.006 |
Reversible passwords in GPO |
IoE |
Credential Access (ntds.dit) |
Т1003.003 |
IoA |
|
Credential Access (Encrypted Passwords) |
Т1003.003 |
Reversible passwords |
IoE |
Credential Access (Kerberoasting) |
Т1558.003 |
IoA |
|
Credential Access (Mimikatz) |
Т1003.001 |
IoA |
Отримати додаткову інформацію
- Conti ransomware gang chats leaked by pro-Ukraine member
- The Conti Leaks | Insight into a Ransomware Unicorn
З питань проведення індивідуальної демонстрації, пілотного тестування рішення Tenable і організації партнерських тренінгів звертайтеся, будь ласка:
[email protected], +38 099 427 94 04.
Джерело: https://bit.ly/3xfQv5n