У чатах ContiLeaks розкрито понад 30 вразливостей, використаних Conti Ransomware. Як Tenable може допомогти?

Витоки внутрішніх чатів між членами групи здирників Conti дозволяють зазирнути в її внутрішні справи та отримати цінні відомості, включаючи докладну інформацію про більш ніж 30 вразливостей, що використовуються групою та її філіями, а також специфіку її процесів після проникнення в мережу, наприклад, як вона націлюється на Active Directory.

У цій статті Tenable пропонує довідкову інформацію про Conti - одну з найбільш продуктивних груп здирників, що діють сьогодні, - вивчимо витік інформації та запропонуємо конкретні поради про те, як захистити вашу організацію від атак Conti.

Довідкова інформація

Публікація ContiLeaks з'явилася 27 лютого - справа рук можливого члена групи Conti, яка займається розповсюдженням здирницького ПЗ. Цей анонім виклав у відкритий доступ серію внутрішніх чатів між членами групи.

Це не перший випадок витоку конфіденційної інформації про групу. У серпні 2021 року одна з філій Conti опублікувала збірку навчальних матеріалів, наданих афілійованим особам, що дозволило вперше отримати уявлення про роботу групи здирників.

Ці витоки дозволили дослідникам проаналізувати більшу кількість тактик, технік та процедур, які розробляють індикатори компрометації, пов'язані з цією групою.

Дослідники з Breach Quest опублікували 9 березня статтю з аналізом ContiLeaks, в якій наведено список вразливостей, які група, можливо, використала для атак на організації.

Що таке Conti?

Вперше виявлена дослідниками з Carbon Black у 2020 році, Conti - це група здирників, яка використовує модель ransomware-as-a-service (вимагання як послуга) для розгортання програми-вимагача Conti.

Ransomware-as-a-Service (RaaS) пропонується групами вимагачів та надає афілійованим особам - кіберзлочинцям, які бажають співпрацювати з групами RaaS, - доступ до готового до впровадження здирницького ПЗ, а також посібник з проведення атак. Групи RaaS отримують невелику частку виплачених викупів, надаючи основну частину прибутку афілійованим особам.

За останні два роки компанія Conti набула широкої популярності, отримавши, за даними Chainalysis, 180 мільйонів доларів прибутку від своїх атак. Вона також здобула популярність завдяки атакам на сектор охорони здоров'я, включаючи щонайменше 16 мереж охорони здоров'я та надзвичайних ситуацій у США.

Найбільш помітною стала атака Конті на Управління охорони здоров'я Ірландії (HSE) у травні 2021 року, під час якої група зажадала викуп у розмірі 20 мільйонів доларів, який HSE відмовився платити.

Те, що Conti приділяє особливу увагу сектору охорони здоров'я, не дивно. У нашому звіті "Ретроспектива ландшафту загроз 2021 року" було виявлено, що 24,7% випадків порушення даних у охороні здоров'я були результатом атак з використанням здирницького ПЗ, а саме вимагацьке ПЗ спричинило 38% усіх порушень, про які стало відомо минулого року.

Які вразливості використовує Conti та її афілійовані особи?

Групи розробників Ransomware, такі як Conti, використовують різні тактики для проникнення в мережі потенційних цілей. До них відносяться фішинг, шкідливе ПЗ та атаки грубої сили на протокол віддаленого робочого столу.

Conti також була пов'язана з EXOTIC LILY, групою брокерів початкового доступу (IAB). IAB спрямовані на отримання шкідливого доступу до організацій з метою продажу цього доступу групам та афілійованим особам, які займаються розсилкою здирницького ПЗ. Однак експлуатація вразливостей автентифікації до і після також відіграє важливу роль в атаках програм-вимагачів.

У рамках витоку інформації про партнерські програми було видно повідомлення про те, що Conti та її філії використовували вразливості PrintNightmare та Zerologon проти цілей. Однак ContiLeaks розкрив ще 29 вразливостей, які використовується групою.

Крім того, є повідомлення, що Conti та її філії використовували уразливості у Fortinet FortiOS, виявлені у пристроях Fortinet SSL VPN, для отримання початкового доступу до цільових середовищ.

Нижче наводиться розбивка типів вразливостей, що використовуються компанією Conti та її афілійованими особами:

Вразливість початкового доступу

*Зверніть увагу: рейтинг пріоритету вразливостей Tenable (VPR) розраховується щоночі. Це повідомлення в блозі було опубліковане 24 березня і відображає VPR в той час.

Вразливості, пов'язані з несанкціонованим отриманням прав

Також відомо, що Conti та її філії використовували CVE-2021-44228, також відомий як Log4Shell, в рамках атак, що почалися наприкінці 2021 року.

Використання вразливостей, пов'язаних із підвищенням привілеїв

При розгляді впливу різних вразливостей, розкритих безпосередньо у повідомленнях ContiLeaks, виявилась цікава закономірність: майже три чверті вразливостей у списку - це вразливості з підвищенням привілеїв, що говорить про те, що група переважно використовує вразливості, що підтримують дії після експлуатації.

Враховуючи, що ця група та її філії можуть знайти різні точки входу в організацію поза вразливістю, але для того, щоб посіяти хаос, їм необхідно підвищити привілеї, не дивно, що більшість їх інструментарію щодо вразливостей зосереджена на підвищенні привілеїв.

Conti та Active Directory

Завдяки ContiLeaks було відомо, що Conti слідує певному набору кроків, як тільки потрапляє до мережі. Щоб атакувати Active Directory (AD), група шукатиме привілеї адміністратора домену, що є звичайним явищем для програм-вимагачів.

Для груп здирників – Active Directory є цінним інструментом, що допомагає досягти поставленої мети – зашифрувати системи в мережі організації.

За даними BreachQuest, Conti та її філії намагатимуться використовувати Zerologon для отримання привілеїв адміністратора домену або шукатимуть "потенційно цікавих людей" в AD організації.

Група та її філії націлені на AD за допомогою різних засобів, у тому числі:

• ADFind
• BloodHound
• Steal or Forge Kerberos Tickets ("Kerberoasting")
• OS Credential Dumping: NTDS

Рішення

Більшість вразливостей, використовуваних групою програм-вимагачів Conti та її філіями, було виправлено за останні кілька років. Найстаріша вразливість у цьому списку була виправлено шість років тому у 2015 році.

Ідентифікація вразливих систем

Список плагінів Tenable для виявлення цих вразливостей можна знайти тут.

Щоб клієнти могли виявити всі відомі вразливості, що використовуються групою здирників Conti та її філіями, Tenable скоро випустить шаблони сканування, а панелі інструментів для Tenable.io, Tenable.sc та Nessus Professional доступні вже зараз.

 Шаблон сканування ContiLeaks

Панель моніторингу ContiLeaks для Tenable.io

Панель моніторингу ContiLeaks для Tenable.sc

Звіт ContiLeaks від Tenable.sc

Для отримання додаткової інформації про панелі моніторингу та звіти, будь ласка, зверніться до наступних статей:

• ContiLeaks Tenable.io панель приладів
• Панель моніторингу ContiLeaks SC
• Шаблон звіту ContiLeaks SC

Індикатори експозиційної вистави в Tenable.ad

Для клієнтів, які хочуть захищати Active Directory у компанії є рішення - Tenable.ad для виявлення та запобігання у вигляді індикаторів впливу (IoE) і індикаторів атак (IoA). IoE - це запобіжний спосіб пошуку та усунення прогалин в інфраструктурі AD для усунення шляхів атак для груп програм-вимагачів та інших кіберзлочинців, тоді як IoA виявляють атаки в режимі реального часу.

Приклад попередження IOA про "розпилення паролів"

Нижче наведено список IoEs та IoAs, отриманих з результатів у ContiLeaks:

 Отримати додаткову інформацію

• Conti ransomware gang chats leaked by pro-Ukraine member
• The Conti Leaks | Insight into a Ransomware Unicorn
  
  З питань проведення індивідуальної демонстрації, пілотного тестування рішення Tenable і організації партнерських тренінгів звертайтеся, будь ласка: 
  [email protected], +38 099 427 94 04.

Джерело: https://bit.ly/3xfQv5n