FBI警告：美国占Conti全球受害单位一半以上，公布感染指标

五月中骇客利用Conti勒索软件攻击爱尔兰卫生机关，而本周美国联邦调查局则警告，美国医疗界、消防、警察单位也无法幸免于Conti攻击，美国受害者甚至占了全球超过一半，将近3/4。

爱尔兰健康服务管理署（Health Service Executive，HSE）IT系统五月遭遇Conti勒索软件攻击，勒索2000万美元，骇客宣称握有700多GB的资料，涵括病患住址、电话号码以及员工合约、薪资及财务资料，扬言若拿不到赎金就会出售或公布资料。HSE营运受到重大影响。HSE预防性关闭所有IT系统及切断网络，造成一家都柏林医院暂时关闭了所有科别门诊，该国COVID-19筛检服务也被迫取消。同时间HSE主管机关爱尔兰卫生部（Department of Health，DoH）也遭同一批歹徒以Conti发动袭击，所幸未成功。

FBI本周指出，去年至少辨识出有16起Conti勒索软件攻击，是针对美国健康照护业与紧急派遣单位的网络，包括执法机关、急救、911派遣中心及市-等等。而Conti在全球400多个攻击目标中，超过290个位于美国。

Conti背后的骇客可能以恶意连结、附件或窃来的RDP (Remote Desktop Protocol)密码进入受害者网络。它可能在Word档中嵌入Powershell script，一开始经由Word档发动Cobalt Strike，然后在网络上植入Emotet使门户洞开，让攻击者得以部署勒索软件。攻击者可能会在受害者网络上潜伏4天到3个星期，再使用DLL部署Conti，必要时则以其他合法工具，如Sysinternal和Mimikatz来升高权限及在网络上横向移动，然后进行资料外泄和加密，有时也会使用TrickBot等木马程式。而Conti植入受害者网络后，可能长期留在企业网络内，以Anchor DNS对外服务器连线。

FBI并公布Conti的攻击指标，包括在感染机器上从port 80、443、8080和8443，来对国内、国际虚拟服务器(VPS)发出beacon讯息，或以port 53进行渗透攻击，此外，也会对云端储存商MegaNZ和pCloud服务器发送大量HTTPS资料连线。如果有侦测到可疑新增账号、端点侦测被关闭、或是不断有HTTP或DNS beacon，都表示可能已感染Conti。