據(jù)外媒近日報(bào)道，世界頂級珠寶品牌之一——格拉夫（Graff），遭遇了大規(guī)模的“網(wǎng)絡(luò)搶劫”。

　　—黑客竊取了其眾多富豪和明星客戶們的隱私信息

　　—據(jù)信受害者包括特朗普、大衛(wèi)·貝克漢姆等

　　—黑客要求數(shù)百萬美元贖金，否則將爆料富豪和明星們的隱私

　　—名為 Conti 的犯罪團(tuán)伙是幕后黑手

　　—Conti團(tuán)伙曾利用最近披露的ProxyShell 漏洞攻擊 Microsoft Exchange 服務(wù)器

　　security affairs網(wǎng)站報(bào)道簡介

　　Conti 勒索軟件團(tuán)伙要求格拉夫（Graff）支付數(shù)百萬美元的贖金，否則他們就要泄露眾多明星和富豪們的隱私。

　　該公司的客戶是全球最富有的一批人，包括特朗普、大衛(wèi)·貝克漢姆、湯姆·漢克斯、塞繆爾·杰克遜、亞歷克·鮑德溫和菲利普·格林爵士等。

　　作為攻擊得手的證據(jù)，Conti 團(tuán)伙已經(jīng)在其泄密網(wǎng)站上發(fā)布了大衛(wèi)·貝克漢姆、特朗普等人的購買相關(guān)文件。已公布的機(jī)密文件達(dá)到 69,000 份，內(nèi)容包括客戶名單、發(fā)票、收據(jù)和信用票據(jù)等。

　　Conti 團(tuán)伙聲稱，所發(fā)布的信息涉及 Graff 的大約 11,000 名客戶，僅占被盜文件的 1%。

　　外國網(wǎng)安業(yè)內(nèi)人士稱，對客戶隱私的影響可能比購買珠寶的價值更大，如果  Graff 拒絕支付贖金，該團(tuán)伙可能會試圖勒索其顧客。

　　“遺憾的是，我們與許多其他企業(yè)一樣，最近成為了犯罪分子的目標(biāo)?！?Graff 的一位發(fā)言人說。

　　此時，成千上萬的人已經(jīng)訪問了泄密網(wǎng)站，挖掘已發(fā)布的文件，以尋找敏感信息。

　?。℅raff珠寶。圖片來源于網(wǎng)絡(luò)）

　　Conti 勒索軟件團(tuán)伙

　　Conti 團(tuán)伙是最活躍、最具侵略性的勒索軟件團(tuán)伙之一。

　　Conti 團(tuán)伙運(yùn)行著一個私有的勒索軟件即服務(wù) （RaaS），該惡意軟件于 2019 年 12 月底出現(xiàn)在威脅環(huán)境中，并通過 TrickBot 感染進(jìn)行傳播。專家推測，這些運(yùn)營商是俄羅斯網(wǎng)絡(luò)犯罪組織 Wizard Spider 的成員。Wizard Spider 也被認(rèn)為是另一個臭名昭著的黑客組織 Ryuk 的幕后黑手。

　　自 2020 年 8 月以來，Conti團(tuán)伙還經(jīng)營著一個名為Conti News的泄密網(wǎng)站，該網(wǎng)站列出了受害名單并公開泄露竊取數(shù)據(jù)，以威脅受害者。

　　Conti團(tuán)伙屬于雙重勒索軟件陣營，在以勒索軟件加密系統(tǒng)之前，會先下載未加密的機(jī)密資料，以在受害者拒絕支付贖金以換取解密密鑰時作為進(jìn)一步的勒索籌碼。Conti被認(rèn)為是流行的Ryuk勒索軟件家族的變種，越來越多的攻擊者通過與過去傳播Ryuk相同的方法傳播惡意軟件。例如，Trickbot/Emotet等銀行木馬和BazarLoader惡意軟件現(xiàn)在都被用來傳播Conti。Conti團(tuán)伙使用了雙重威脅策略，即保留解密密鑰并出售或泄露受害者的敏感數(shù)據(jù)。一旦惡意軟件感染了受害系統(tǒng)，它會嘗試橫向移動以訪問更敏感的內(nèi)容。此外，Conti團(tuán)伙通過使用多線程來快速加密文件。

　　今年以來涉及Conti團(tuán)伙的部分事件

　　蘇格蘭環(huán)保局遭遇攻擊

　　2021年1月，蘇格蘭環(huán)境保護(hù)局 （SEPA）遭遇Conti勒索軟件攻擊，被竊取1.2GB數(shù)據(jù)。在襲擊發(fā)生近一個月后，該局的服務(wù)仍然中斷。在該局拒絕支付贖金后，黑客發(fā)布了數(shù)千個被盜文件，并發(fā)布了4000多份與合同、商業(yè)服務(wù)和戰(zhàn)略有關(guān)的文件和數(shù)據(jù)庫。

　　佛羅里達(dá)學(xué)校遭遇攻擊

　　2021年2月，佛羅里達(dá)州布勞沃德縣公立學(xué)區(qū)（Broward County Public Schools，BCPS）遭遇Conti勒索軟件攻擊，被索要四千萬美元贖金。該學(xué)區(qū)是美國第六大學(xué)區(qū)，也是佛羅里達(dá)州第二大學(xué)區(qū)。Conti團(tuán)伙表示已經(jīng)對該學(xué)區(qū)服務(wù)器進(jìn)行了加密，并竊取了超過1TB的數(shù)據(jù)文件，其中包括學(xué)生和員工的個人信息、合同以及財(cái)務(wù)文件。

　　愛爾蘭醫(yī)療機(jī)構(gòu)HSE遭遇攻擊

　　2021年5月，愛爾蘭醫(yī)療機(jī)構(gòu)HSE遭遇Conti勒索軟件攻擊，被索要2000萬美元贖金。該機(jī)構(gòu)在發(fā)現(xiàn)攻擊后關(guān)閉了所有IT系統(tǒng)。但Conti團(tuán)伙聲稱進(jìn)入該機(jī)構(gòu)的網(wǎng)絡(luò)已達(dá)兩周，在此期間，他們竊取了700GB的未加密文件，包括患者信息和員工信息、合同、財(cái)務(wù)報(bào)表和工資單等。

　　FBI就Conti發(fā)布警告

　　2021年5月，美國聯(lián)邦調(diào)查局 （FBI） 稱，Conti勒索軟件在過去的一年中，襲擊了美國至少16個醫(yī)療保健和緊急服務(wù)機(jī)構(gòu)，影響了超過400個全球組織，其中290個位于美國。

　　Conti團(tuán)伙自行泄露攻擊手冊

　　2021年8月5日，Conti團(tuán)伙因內(nèi)部分贓不均，導(dǎo)致其下屬組織將其內(nèi)部資料以及工具公開。被公開的文件中包含了竊取數(shù)據(jù)、檢測殺軟、對抗殺軟、網(wǎng)絡(luò)掃描、遠(yuǎn)程控制等各方面的工具；還有一份詳細(xì)的攻擊教程，列出了該團(tuán)伙的攻擊步驟，其大體的攻擊思路主要包括：通過獲取設(shè)備訪問權(quán)限，了解設(shè)備所屬公司，再重點(diǎn)了解該公司的收入情況等；通過獲取設(shè)備訪問權(quán)限，在內(nèi)網(wǎng)繼續(xù)橫向滲透；獲取更多設(shè)備權(quán)限后部署遠(yuǎn)控軟件，為后續(xù)攻擊操作做好準(zhǔn)備；在內(nèi)網(wǎng)設(shè)備中掃描文件，通過文件名認(rèn)定可能有價值的文件，并利用同步數(shù)據(jù)軟件回傳這些數(shù)據(jù)；部署勒索軟件等。

　　CISA、FBI和NSA就Conti發(fā)布警告

　　2021年9月，美國國土安全部網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局（CISA）、聯(lián)邦調(diào)查局 （FBI） 和國家安全局 （NSA） 稱，Conti團(tuán)伙針對美國組織的勒索軟件攻擊數(shù)量有所增加。

　　警告稱：“CISA和FBI觀察到，在對美國和國際組織的400多次攻擊中，Conti 勒索軟件的使用有所增加。在典型的Conti勒索軟件攻擊中，惡意網(wǎng)絡(luò)攻擊者會竊取文件、加密服務(wù)器和工作站，并要求支付贖金。為了保護(hù)系統(tǒng)免受Conti勒索軟件的侵害，CISA、FBI和NSA建議實(shí)施本公告中描述的緩解措施?！?/p>

　　警告中提供的緩解措施包括：使用多重身份驗(yàn)證；實(shí)施網(wǎng)絡(luò)分段和過濾流量；掃描漏洞并保持軟件更新；刪除不必要的應(yīng)用程序并應(yīng)用控制；實(shí)施端點(diǎn)和檢測響應(yīng)工具；限制對網(wǎng)絡(luò)資源的訪問，尤其是通過限制 RDP；保護(hù)用戶帳戶等。

　　Conti曾利用ProxyShell 漏洞攻擊 Microsoft Exchange 服務(wù)器

　　2021年9月，securityaffairs網(wǎng)站曾發(fā)布文章稱，Conti勒索軟件團(tuán)伙正在利用最近披露的ProxyShell漏洞攻擊Microsoft Exchange服務(wù)器。我們對該文作了編譯如下，以供讀者參考。

　　ProxyShell是三個漏洞的名稱，未經(jīng)身份驗(yàn)證的遠(yuǎn)程攻擊者可以通過鏈接這些漏洞在 Microsoft Exchange服務(wù)器上執(zhí)行代碼。

　　ProxyShell 攻擊中使用的三個漏洞是：

　　CVE-2021-34473 – 預(yù)驗(yàn)證路徑混亂導(dǎo)致ACL繞過（KB5001779于4月修補(bǔ) ）

　　CVE-2021-34523 – Exchange PowerShell后端的特權(quán)提升 （KB5001779于 4 月修補(bǔ)）

　　CVE-2021-31207 – 授權(quán)后任意文件寫入導(dǎo)致RCE（KB5003435于5月修補(bǔ) ）

　　這些漏洞是通過在 IIS 中的端口 443 上運(yùn)行的 Microsoft Exchange 的客戶端訪問服務(wù) （CAS） 遠(yuǎn)程利用的。

　　這些漏洞是由Devcore的安全研究員Tsai orange發(fā)現(xiàn)的，在2021 年4 月的Pwn2Own 黑客大賽中，這些問題獲得了 200,000 美元的獎金。

　　來自Sophos的研究人員發(fā)現(xiàn)，攻擊者利用Microsoft Exchange ProxyShell漏洞破壞了網(wǎng)絡(luò)。Conti團(tuán)伙正試圖將使用Exchange Server的組織作為目標(biāo)，這些組織尚未更新其安裝。一旦獲得網(wǎng)絡(luò)訪問權(quán)限，Conti首先會投放 web shell來執(zhí)行命令并破壞服務(wù)器，然后手動部署勒索軟件以感染網(wǎng)絡(luò)上盡可能多的系統(tǒng)。

　　“在Sophos觀察到的一組基于ProxyShell的攻擊中，Conti成功獲得了對目標(biāo)網(wǎng)絡(luò)的訪問權(quán)限，并在一分鐘內(nèi)設(shè)置了一個遠(yuǎn)程web shell。三分鐘后，他們安裝了第二個備份web shell。在30分鐘內(nèi)，他們生成了網(wǎng)絡(luò)計(jì)算機(jī)、域控制器和域管理員的完整列表。僅僅四個小時后，Conti就獲得了域管理員帳戶的憑據(jù)并開始執(zhí)行命令?！?Sophos稱，“在獲得初始訪問權(quán)限后的 48 小時內(nèi)，攻擊者已經(jīng)泄露了大約1TB的數(shù)據(jù)。五天后，他們將Conti勒索軟件部署到網(wǎng)絡(luò)上的每臺機(jī)器上，專門針對每臺計(jì)算機(jī)上的單個網(wǎng)絡(luò)共享?！?/p>

　　專家注意到，勒索軟件團(tuán)伙在目標(biāo)網(wǎng)絡(luò)上安裝了幾個后門、幾個 web shell、Cobalt Strike以及AnyDesk、Atera、Splashtop 和 Remote Utilities 商業(yè)遠(yuǎn)程訪問工具。

　　一旦獲得對目標(biāo)網(wǎng)絡(luò)的訪問權(quán)限，勒索軟件團(tuán)伙就會將竊取的數(shù)據(jù)上傳到MEGA文件共享服務(wù)器。五天后，該組織開始對網(wǎng)絡(luò)上的設(shè)備進(jìn)行加密，并從未受保護(hù)的服務(wù)器發(fā)起攻擊。

　　寫在文末

　　總部位于倫敦的格拉夫（Graff）由勞倫斯·格拉夫 （Laurence Graff） 創(chuàng)立，是世界最頂級珠寶品牌之一，以鉆石著稱。有網(wǎng)絡(luò)專家認(rèn)為，勒索者可能會要求以無法追蹤的網(wǎng)絡(luò)貨幣（例如比特幣）、甚至珠寶來付款。

　　有外媒稱，“格拉夫突襲”可能是有史以來最大的“鉆石搶劫”案——雖然沒有一顆鉆石被親手觸及；大量富有和著名的格拉夫客戶的隱私信息，已經(jīng)在“暗網(wǎng)”上被曝光，而下一步還可能會出現(xiàn)更多受害者。