APP下载

FBI警告:美国占Conti全球受害单位一半以上,公布感染指标

消息来源:baojiabao.com 作者: 发布时间:2026-02-18

报价宝综合消息FBI警告:美国占Conti全球受害单位一半以上,公布感染指标

情境示意图,Photo by John Salvino on unsplash

五月中骇客利用Conti勒索软件攻击爱尔兰卫生机关,而本周美国联邦调查局则警告,美国医疗界、消防、警察单位也无法幸免于Conti攻击,美国受害者甚至占了全球超过一半,将近3/4。

爱尔兰健康服务管理署(Health Service Executive,HSE)IT系统五月遭遇Conti勒索软件攻击,勒索2000万美元,骇客宣称握有700多GB的资料,涵括病患住址、电话号码以及员工合约、薪资及财务资料,扬言若拿不到赎金就会出售或公布资料。HSE营运受到重大影响。HSE预防性关闭所有IT系统及切断网络,造成一家都柏林医院暂时关闭了所有科别门诊,该国COVID-19筛检服务也被迫取消。同时间HSE主管机关爱尔兰卫生部(Department of Health,DoH)也遭同一批歹徒以Conti发动袭击,所幸未成功。

FBI本周指出,去年至少辨识出有16起Conti勒索软件攻击,是针对美国健康照护业与紧急派遣单位的网络,包括执法机关、急救、911派遣中心及市-等等。而Conti在全球400多个攻击目标中,超过290个位于美国。

Conti背后的骇客可能以恶意连结、附件或窃来的RDP (Remote Desktop Protocol)密码进入受害者网络。它可能在Word档中嵌入Powershell script,一开始经由Word档发动Cobalt Strike,然后在网络上植入Emotet使门户洞开,让攻击者得以部署勒索软件。攻击者可能会在受害者网络上潜伏4天到3个星期,再使用DLL部署Conti,必要时则以其他合法工具,如Sysinternal和Mimikatz来升高权限及在网络上横向移动,然后进行资料外泄和加密,有时也会使用TrickBot等木马程式。而Conti植入受害者网络后,可能长期留在企业网络内,以Anchor DNS对外服务器连线。

FBI并公布Conti的攻击指标,包括在感染机器上从port 80、443、8080和8443,来对国内、国际虚拟服务器(VPS)发出beacon讯息,或以port 53进行渗透攻击,此外,也会对云端储存商MegaNZ和pCloud服务器发送大量HTTPS资料连线。如果有侦测到可疑新增账号、端点侦测被关闭、或是不断有HTTP或DNS beacon,都表示可能已感染Conti。

2021-05-26 11:53:00

相关文章