勒索软件Conti在攻击前会先侦察目标组织的营收和保险资料

骇客为了增加能够收到赎金的机会，在下手发动勒索软件攻击之前，试图掌握对方的财务状态，以便决定要开口索讨的金额。威胁情报业者Advanced Intelligence（AdvIntel）在近期的一起攻击事故里发现，使用Conti勒索软件的骇客，在攻击目标的网络植入勒索软件之前，先上传了名为Rclone的开源资料备份工具，复制并窃取受害组织的保单资料。

根据上述的现象，AdvIntel详细整理出骇客在使用勒索软件加密之前，所执行的侦察流程。首先，Conti入侵了受害组织的网络，并取得网域管理员的存取权限。接下来，攻击者使用渗透测试工具Cobalt Strike，建立Beacon通讯连线，然后侦察网络环境，并调查重要的财务与保险资料。

找到上述提及的财务及保险资料之后，攻击者从档案共享网站Mega，传送一个支援多平台且开源、又可简化云端储存服务操作的Rclone应用程序，到受害组织的网域控制器（DC），接着，他们将财务及保险相关的资料，借由网络共享的方式，复制到指定位置，以便能让Conti能够“安全存取”。

完成上述工作后，攻击者才执行serverlock.bat指令码（Script）锁住网络，并且加密档案。

为何骇客会使用Rclone？这是能够传输档案到云端服务的命令列工具，AdvIntel指出，Conti骇客将其当作外泄资料的武器，并事先针对攻击目标配置相关设定来“同步”资料。

上述AdvIntel的发现，也与之前该组织外泄的“教战手则”内容相符。根据新闻网站Bleeping Computer于8月5日的报导，有资安研究人员发现，有人疑似对Conti心生不满，愤而将其111MB的训练资料发布到网络论坛，内容包含了该组织使用的指令与C2服务器的IP地址等细节。而AdvIntel指出，从事件记录的内容，他们发现攻击者在执行Rclone之前，会下达Invoke_ShareFinder指令，这很可能是将外泄档案名单造册，汇出成纯文字档案的工作。

除此之外，在先前Conti外流的文件中，指示攻击者要依序从网络共享资料夹里，找寻财务（Finance）、会计（Accounting）、保险（Insurance），以及IT相关文件，也与本次AdvIntel的发现大致相符。