嘶货

1.概述

近日，安天CERT监测到Conti勒索软件呈现活跃趋势。该勒索软件家族被发现于2019年，其背后的攻击组织在地下论坛以RaaS（勒索软件即服务）形式运营，并广泛招收附属成员。自2020年5月开始，攻击活动逐渐增多，持续活跃至今。该勒索软件主要通过钓鱼邮件、利用其他恶意软件、漏洞利用和远程桌面协议（RDP）暴力破解进行传播，组合利用多种工具实现内网横向移动，2021年12月Log4j被曝漏洞（CVE-2021-44228）后，Conti勒索软件运营者开始利用存在Log4j漏洞的VMWare vCenter进行横向移动。2020年7月利用匿名化Tor建立赎金支付与数据泄露平台，采用“威胁曝光企业数据+加密数据勒索”双重勒索策略。

安天CERT通过关联分析发现，该组织同运营Ryuk勒索软件的Wizard Spider黑客组织分支机构Grim Spider存在一定关系[1]。结合Ryuk勒索软件攻击活跃度逐渐降低，二者使用的攻击工具部分相同，攻击载荷代码段相似，都曾利用TrickBot、Emotet、IcedID和BazarLoader等木马程序进行传播等多种原因，安天CERT推测Conti勒索软件将成为Ryuk勒索软件的继承者。

Conti勒索软件通过Tor建立网站，发布受害者信息及窃取到的数据文件。自其于2020年7月29日公布第一个受害者信息以来，截至2021年12月15日，共计公布了631个受害者信息，其中，2021年在全球范围内影响了超过470个组织机构。据安天CERT统计，2021年11月1日至12月15日，被公开的受害者数量为90个，且可能存在未被公开的受害者。受害者所属国家主要集中于美国、意大利、德国、澳大利亚和法国，所属行业涉及制造、服务、建筑、金融、能源、医疗和政府组织机构。我国也有被公开的受害者。

经验证，安天智甲终端防御系统（简称IEP）可实现对该勒索软件的有效查杀和对用户终端的切实防护。

2.近期攻击活动案例

· 攻击爱尔兰卫生服务执行局并窃取700GB敏感文件

2021年5月14日，爱尔兰卫生服务执行局（HSE）遭受Conti勒索软件攻击，导致多家医院的服务取消和中断[2]。Conti勒索软件攻击者声称从HSE窃取了700GB的未加密文件，包括患者信息和员工信息、合同、财务报表、工资单等。爱尔兰总理表示，他们拒绝向Conti勒索软件背后的攻击组织支付2000万美元的赎金。

· 攻击美国俄克拉荷马州塔尔萨市并窃取18000多份敏感文件

美国俄克拉荷马州塔尔萨市在5月遭受Conti勒索软件攻击，这次攻击破坏了塔尔萨市的在线账单支付系统、公用事业账单系统和电子邮件系统[3]。Conti勒索软件背后的攻击组织声称对此负责并表示已经公开窃取到的18938份文件。

· 攻击日本电子产品供应商并窃取1.5TB数据

9月22日，总部位于日本的跨国电子产品供应商JVCKenwood遭受Conti勒索软件攻击，攻击者声称窃取了1.5TB的数据并要求支付700万美元的赎金[4]。

· 攻击英国伦敦高端珠宝商并窃取大量名人、政治家和国家元首数据文件

总部位于英国伦敦的高端珠宝商Graff在10月遭受Conti勒索软件攻击，被窃取文件中包含众多名人、政治家和国家元首的数据文件[5]。该起事件的攻击组织在其Tor网站上发布了数万份文件，迫于政治压力，11月4日该组织发表声明，任何与沙特阿拉伯、阿联酋和卡塔尔家庭成员有关的信息将被删除，并向穆罕默德·本·萨勒曼王子殿下和其他所有王室成员致歉[6]。

3.组织信息

Conti勒索软件家族被发现于2019年，其背后的攻击组织在地下论坛以RaaS（勒索软件即服务）形式运营，并广泛招收附属成员。自2020年5月开始，攻击活动逐渐增多，持续活跃至今。该勒索软件主要通过钓鱼邮件、利用其他恶意软件、漏洞利用和远程桌面协议（RDP）暴力破解进行传播，组合利用多种工具实现内网横向移动。2020年7月利用匿名化Tor建立赎金支付与数据泄露平台，采用“威胁曝光企业数据+加密数据勒索”双重勒索策略。

图 3- 1 Conti勒索软件组织运营的Tor网站

通过分析对比发现，Conti使用的勒索信模板与Ryuk勒索软件在早期版本攻击活动中使用的相同。Conti在其攻击活动中使用与Ryuk相同的TrickBot银行木马进行传播，TrickBot的运营商是位于俄罗斯的黑客组织Wizard Spider，Grim Spider作为Wizard Spider的分支，自2018年8月以来一直在运营Ryuk勒索软件，当Ryuk的攻击活动呈下降趋势时，Conti攻击活动趋势却有所上升[7]。

安天CERT通过关联分析发现，该组织同运营Ryuk勒索软件的Wizard Spider黑客组织分支机构Grim Spider存在一定关系。结合Ryuk勒索软件攻击活跃度逐渐降低，二者使用的攻击工具部分相同，攻击载荷代码段相似，都曾利用TrickBot、Emotet、IcedID和BazarLoader等木马程序进行传播等多种原因，安天CERT推测Conti勒索软件将成为Ryuk勒索软件的继承者。

2021年8月5日，自称是Conti勒索软件组织的附属机构成员，因分赃不均心怀不满，在地下论坛泄露了该组织用于培训附属成员的资料，包括如何在受害者网络中内部访问、横向移动、升级访问权限、在加密文件之前泄露其数据的手册和技术指南等文件。通过泄露出的文件名称来看部分为俄文，也印证了该组织可能与俄罗斯有关。

图3-2 泄露文件内容

因部分受害者未按其要求支付赎金，Conti组织运营者发布声明要向外出售部分已入侵受害组织的访问权限。

图3-3 出售受害者系统访问权限声明

4. 受害者信息

Conti勒索软件通过Tor建立网站，发布受害者信息及窃取到的数据文件。自其于2020年7月29日公布第一个受害者信息以来，截至2021年12月15日，共计公布了631个受害者信息，其中，2021年在全球范围内影响了超过470个组织机构。

攻击者在入侵受害者系统后，会窃取系统中的文件，在Tor网站上公开部分窃取到的数据，以百分比的进度进行公开，已公开的数据任何访问者都可自行下载，以威胁受害者及时支付数据，未按期支付则会全部公开。部分大小为0的数据，猜测可能是受害者支付了赎金，攻击者未对其数据进行公开。

图4- 1 公开窃取到的数据

据安天CERT统计，2021年11月1日至12月15日，被公开的受害者数量为90个，且可能存在未被公开的受害者。受害者所属国家主要集中于美国、意大利、德国、澳大利亚和法国，所属行业涉及制造、服务、建筑、金融、能源、医疗和政府组织机构。我国也有被公开的受害者。数据大小根据已泄露文件所占百分比进行换算，公开的受害者信息如下表所示：

表 4‑1 受害者信息