一、小白劇場(chǎng)

小白：東哥，你知道臺達電子集團嗎？

大東：當然，臺達電子是電腦電源廠(chǎng)商，據說(shuō)全球每2臺服務(wù)器和每3臺PC電腦就有一臺使用臺達電源。

臺達電子（圖片來(lái)自網(wǎng)絡(luò )）

小白：那業(yè)界地位這么高的臺達電子，他的網(wǎng)絡(luò )安全防御機制怎么樣呢？

大東：跟我這么久了，小白你的網(wǎng)絡(luò )安全意識確實(shí)提升不少，已經(jīng)能夠自主關(guān)注每個(gè)產(chǎn)業(yè)的網(wǎng)絡(luò )安全防御機制了！

小白：過(guò)獎了，東哥。

大東：話(huà)說(shuō)回來(lái)，槍打出頭鳥(niǎo)，臺達電子最近的確不怎么安全。

小白：怎么回事呢？

大東：最近，臺達電子發(fā)布聲明，說(shuō)它在2022年1月21日受到了一起勒索軟件攻擊，這次攻擊與Conti勒索軟件團伙有關(guān)。

小白：Conti勒索軟件，勒索軟件在各大產(chǎn)業(yè)界還真是屢見(jiàn)不鮮的攻擊形勢，不過(guò)Conti是誰(shuí)來(lái)著(zhù)，聽(tīng)著(zhù)好耳熟，東哥詳細講講吧！

二、話(huà)說(shuō)事件

大東：我首先介紹一下Conti勒索軟件的來(lái)歷吧。

小白：好的。

大東：最早，在2019年該勒索軟件家族就被發(fā)現，它背后的攻擊組織以RaaS（勒索軟件即服務(wù)）形式在地下論壇運營(yíng)，并廣泛招收成員。自2020年5月開(kāi)始，他的攻擊活動(dòng)越來(lái)越多，一直活躍至今。

小白：原來(lái)這么早就有過(guò)攻擊活動(dòng)了，那他的攻擊形勢大多是哪些呢？

大東：該勒索軟件主要利用其他惡意軟件、釣魚(yú)郵件、漏洞利用和遠程桌面協(xié)議（RDP）暴力破解進(jìn)行傳播，利用多種工具的組合實(shí)現內網(wǎng)橫向移動(dòng)。

小白：這么多技術(shù)名詞，可以舉個(gè)具體攻擊例子嗎，東哥？

大東：有??！在2020年7月，它利用匿名化Tor建立贖金支付與數據泄露平臺，采用威脅曝光企業(yè)數據+加密數據勒索雙重勒索策略。

小白：有最近的攻擊案例嗎？

大東：當然，在2021年12月Log4j的（CVE-2021-44228）漏洞被曝光后，Conti勒索軟件運營(yíng)者就開(kāi)始利用存在該漏洞的VMWare vCenter進(jìn)行橫向移動(dòng)。

小白：沒(méi)錯，我記起來(lái)了，這么危險的漏洞，Conti是不能放過(guò)的！

大東：國內公司通過(guò)分析，發(fā)現該組織與Wizard Spider黑客組織（運營(yíng)Ryuk勒索軟件）的分支機構Grim Spider存在一定關(guān)聯(lián)。

小白：有什么跡象能夠確定這種關(guān)系嗎？

大東：經(jīng)過(guò)分析發(fā)現，二者采用的攻擊工具存在部分相同之處，攻擊載荷代碼段相似，都曾利用TrickBot、Emotet、IcedID和BazarLoader等木馬程序進(jìn)行傳播。而且Ryuk勒索軟件攻擊活躍度近期也逐漸降低。

Ryuk勒索案例（圖片來(lái)自網(wǎng)絡(luò )）

小白：原來(lái)如此，那Conti勒索軟件沒(méi)準就會(huì )成為Ryuk勒索軟件的繼承者。那話(huà)說(shuō)回來(lái)，本次臺達電子被Conti勒索的事件嚴重嗎，東哥？

大東：在發(fā)布的被攻擊聲明中，臺達電子宣稱(chēng)攻擊并未影響其核心生產(chǎn)系統。

小白：怎么可能不影響，這應該是想穩定軍心吧。

大東：沒(méi)錯，據當地媒體報道，有記者已獲得一份內部事件報告副本，報告數據顯示，臺達電子的12000多臺計算機和1500多臺服務(wù)器已被攻擊者加密。

小白：這么多臺設備已經(jīng)被加密了，那正常的生產(chǎn)會(huì )不會(huì )受到影響??？

大東：目前尚不清楚此次攻擊是否會(huì )對其客戶(hù)的產(chǎn)品供應造成影響。臺達電子表示公司已在第一時(shí)間發(fā)現了攻擊，并組織了安全團隊進(jìn)行了干預，對受感染系統采取措施，并開(kāi)始恢復運營(yíng)。同時(shí)，公司正與趨勢科技和微軟合作，爭取盡量減小損失。

小白：那Conti索要的贖金是多少呢？

大東：據稱(chēng)，攻擊者向臺達電子索要1500萬(wàn)美元的贖金。但目前Conti的勒索攻擊的數據公布網(wǎng)站尚未提及臺達電子的名稱(chēng)，可能雙方仍在就贖金支付進(jìn)行談判。

小白：一定要將損失降到最低呀！那對于不能恢復的系統網(wǎng)站，臺達有什么策略嗎？

大東：據知情人士透露，臺達電子尚未恢復大部分系統，其官方網(wǎng)站仍處于癱瘓狀態(tài)，該公司正在使用一臺替代的Web服務(wù)器與客戶(hù)保持聯(lián)系。

三、大話(huà)始末

小白：對于Conti勒索軟件團伙，有哪些比較經(jīng)典的案例可以介紹一下嗎，東哥？

大東：在2021年5月14日，愛(ài)爾蘭衛生服務(wù)執行局（HSE）多家醫院的服務(wù)被取消和中斷，原因是遭受了Conti勒索軟件攻擊。

小白：Conti竊取了哪些數據呢？

大東：Conti勒索軟件攻擊者聲稱(chēng)從HSE竊取了包括患者信息和員工信息、合同、財務(wù)報表、工資單等700GB的未加密文件。

小白：還有其他的案例嗎？

大東：同樣在2021年5月，美國俄克拉荷馬州塔爾薩市的在線(xiàn)賬單支付系統、公用事業(yè)賬單系統和電子郵件系統都因conti勒索軟件的攻擊而中斷服務(wù)。

小白：這次攻擊竊取的數據規模多大呢？

大東：Conti勒索軟件背后的攻擊組織表示已經(jīng)公開(kāi)竊取到的18938份文件。

小白：有攻擊政府部門(mén)的案例嗎？

大東：當然有，2021年10月，高端珠寶商Graff（總部位于英國倫敦）遭受Conti勒索軟件攻擊，包含眾多名人、政治家和國家元首的數據文件被竊取。

小白：元首數據都有？

大東：沒(méi)錯，在竊取數據后，Conti在其Tor網(wǎng)站上發(fā)布了數萬(wàn)份文件。

小白：這么重要的元首信息被泄露，最后是怎么處理的呢？

大東：迫于政治壓力，2021年11月4日Conti便發(fā)表了聲明，任何與沙特阿拉伯、阿聯(lián)酋和卡塔爾家庭成員有關(guān)的信息將被刪除，并向穆罕默德·本·薩勒曼王子殿下和其他所有王室成員致歉。

小白：看來(lái)Conti的攻擊分布的領(lǐng)域還挺廣泛，竊取的數據規模還不??！

大東：Conti勒索軟件通過(guò)Tor建立網(wǎng)站，自2020年7月29日公布第一個(gè)受害者信息以來(lái)，截至2021年12月15日，共計公布了631個(gè)受害者信息，其中，2021年在全球范圍內影響了超過(guò)470個(gè)組織機構。

四、小白內心說(shuō)

小白：這么肆意妄為的Conti，我們有哪些比較高效的防御手段來(lái)抵御勒索攻擊呢？

大東：目前來(lái)看，為針對該勒索軟件，我們還是要多多聽(tīng)取專(zhuān)家的建議。

小白：有哪些具體的建議呢？

大東：對于個(gè)人防護層面，我們一定要強化終端防護，比如安裝反病毒軟件，并開(kāi)啟勒索病毒防御工具模塊。以此來(lái)保障我們的終端安全。

小白：除了安裝病毒查殺軟件，還有別的建議嗎？

大東：其次就是要加強口令密碼強度，避免使用弱口令，建議使用16位或更長(cháng)的密碼，包括大小寫(xiě)字母、數字和符號在內的組合，同時(shí)避免多個(gè)服務(wù)器使用相同口令。對于數據層面，一定要定期進(jìn)行重要數據備份，且備份數據應與主機隔離。

小白：那對于企業(yè)層面，有哪些具體的防護建議呢？

大東：在日常生產(chǎn)中，企業(yè)一定要開(kāi)啟相關(guān)日志，開(kāi)啟關(guān)鍵日志收集功能，如安全日志、系統日志、PowerShell日志、IIS日志、錯誤日志、訪(fǎng)問(wèn)日志、傳輸日志和Cookie日志等，為安全事件的追蹤溯源提供基礎。

小白：除了日志層面，還有別的層面嗎？

大東：對于惡意連接的識別，一定要設置IP白名單規則，配置高級安全Windows防火墻，設置遠程桌面連接的入站規則，將使用的IP地址或IP地址范圍加入規則中，阻止規則外IP進(jìn)行暴力破解。

小白：除了這些配置建議，有哪些建議企業(yè)部署的安全防御系統嗎？

大東：建議企業(yè)部署入侵檢測系統（IDS），部署流量監控類(lèi)軟件或設備，便于對勒索軟件及時(shí)發(fā)現與追蹤溯源。

小白：IDS有哪些呢？

大東：比如威脅檢測系統（PTD），這類(lèi)系統以網(wǎng)絡(luò )流量為檢測分析對象，能精準檢測出已知海量惡意代碼和網(wǎng)絡(luò )攻擊活動(dòng)，有效發(fā)現網(wǎng)絡(luò )可疑行為、資產(chǎn)和各類(lèi)未知威脅。

小白：除了這些硬性的防御機制，還有哪些軟性的防御工作需要對企業(yè)強調的嗎，東哥？

大東：千萬(wàn)不要忘記災備預案，建立安全災備預案能夠確保備份業(yè)務(wù)系統在收到惡意攻擊后可以快速啟用，不耽誤正常生產(chǎn)。

參考資料：

1. Conti勒索軟件分析報告https://new.qq.com/rain/a/20211220A0BHV600

2. Ryuk繼任者Conti發(fā)布數據泄漏站點(diǎn)https://www.sohu.com/a/415338714_490113

3. 蘋(píng)果和特斯拉供應商臺達電子遭勒索攻擊https://baijiahao.baidu.com/s?id=1724360208718663337&wfr=spider&for=pc

4. 【安全圈】印尼央行遭勒索軟件襲擊，超13GB數據外泄https://new.qq.com/omn/20220121/20220121A0AB3R00.html

來(lái)源：中國科學(xué)院信息工程研究所