ФБР идентифицира 16 атаки на рансъмуер Conti, поразили американското здравеопазване, първи реагиращи

Федералното бюро за разследвания (ФБР) свързва групата за изкупване на Conti с най-малко 16 атаки, насочени към нарушаване на здравеопазването и мрежите за първи отговор в САЩ.

Идентифицираните цели включват 911 изпращащи превозвачи, правоприлагащи органи и спешни медицински служби – всички те бяха атакувани през последната година, докато медицинските служби се бореха да управляват пандемията COVID-19.

Според ФБР съвет за флаш (.PDF), Conti е свързан с най-малко 400 кибератаки срещу организации по целия свят, а най-малко 290 са базирани в САЩ.

В това, което се превърна в популярна тактика за операторите на рансъмуер, за да увеличат шансовете за изплащане, нападателите ще проникнат в мрежата на жертвата, ще откраднат поверителни файлове и след това ще стартират рансъмуер. Ако изискванията за изнудване – обикновено направени в криптовалута като Биткойн (BTC) – не са изпълнени, организациите са изправени пред перспективата техните данни да бъдат публикувани или продавани чрез сайт за изтичане на информация.

Групата за изкупване Conti е един от десетките престъпни колективи с двойно изнудване, които оперират сайтове за течове, като се присъединиха към подобни на Sodinokibi, Nefilim и Maze миналата година.

Conti може да използва откраднати идентификационни данни, RDP или фишинг кампании, за да получи първоначален достъп до мрежа. Според ФБР, групата може също да използва Cobalt Strike, Mimikatz, Emotet и Trickbot заедно с Conti ransomware по време на атаки.

„Ако жертвата не отговори на исканията за откуп, два до осем дни след внедряването на рансъмуера, участниците в Conti често се обаждат на жертвата, като използват еднократни номера за гласово предаване по Интернет (VOIP)“, се казва в консултацията. „Актьорите могат също да комуникират с жертвата, използвайки ProtonMail, а в някои случаи жертвите са договорили намален откуп.“

ФБР не насърчава организациите на жертвите да плащат, тъй като ключовете за дешифриране не гарантират да работят и всеки успешен опит за изнудване само насърчава престъпна дейност, свързана с рансъмуер.

Независимо от това, независимо дали жертвата е платила или не, ФБР настоява за прозрачност на правоприлагащите органи, когато възникнат инциденти с рансъмуер. Що се отнася конкретно до Conti, ФБР поиска гранични регистрационни файлове, показващи връзки към IP адреси, информация за портфейла на криптовалута, всички налични декрипторни файлове, както и криптирани мостри на файлове

Наскоро пръстът беше насочен към Conti за инвалидизираща атака на рансъмуер срещу ирландския изпълнителен директор на здравната служба (HSE) на 14 май. Длъжностни лица казват, че искането за рансъмуер от 20 милиона долара няма да бъде платено и докато Conti пусна – непроверена – – инструмент за дешифриране на услугата, групата все още е заплашила да продаде или изтече HSE записи, за които се твърди, че са откраднати по време на атаката.

Върховният съд на Дъблин е издал заповед срещу Conti, под „лица в неизвестност“, в опит да спре разпространението на открадната информация.

В време на писане, персоналът все още няма достъп до имейл, има закъснения с издаването на свидетелства за раждане, смърт и брак. Програмата за ваксинация срещу COVID-19 се въвежда както обикновено, но може да има и забавяне при получаване на резултатите от теста.


? Свържете се сигурно чрез WhatsApp | Сигнал на +447713 025 499 или повече в Keybase: charlie0


Публикациите се превеждат автоматично с google translate

Източник: www.zdnet.com