Ryuk继任者Conti盯上电脑供应商——台达电子遭勒索攻击丨大东话安全

一、小白剧场

小白：东哥，你知道台达电子集团吗？

大东：当然，台达电子是电脑电源厂商，据说全球每2台服务器和每3台PC电脑就有一台使用台达电源。

台达电子（图片来自网络）

小白：那业界地位这么高的台达电子，他的网络安全防御机制怎么样呢？

大东：跟我这么久了，小白你的网络安全意识确实提升不少，已经能够自主关注每个产业的网络安全防御机制了！

小白：过奖了，东哥。

大东：话说回来，“枪打出头鸟”，台达电子最近的确不怎么安全。

小白：怎么回事呢？

大东：最近，台达电子发布声明，说它在2022年1月21日受到了一起勒索软件攻击，这次攻击与Conti勒索软件团伙有关。

小白：Conti勒索软件，勒索软件在各大产业界还真是屡见不鲜的攻击形势，不过Conti是谁来着，听着好耳熟，东哥详细讲讲吧！

二、话说事件

大东：我首先介绍一下Conti勒索软件的来历吧。

小白：好的。

大东：最早，在2019年该勒索软件家族就被发现，它背后的攻击组织以RaaS（勒索软件即服务）形式在地下论坛运营，并广泛招收成员。自2020年5月开始，他的攻击活动越来越多，一直活跃至今。

小白：原来这么早就有过攻击活动了，那他的攻击形势大多是哪些呢？

大东：该勒索软件主要利用其他恶意软件、钓鱼邮件、漏洞利用和远程桌面协议（RDP）暴力破解进行传播，利用多种工具的组合实现内网横向移动。

小白：这么多技术名词，可以举个具体攻击例子吗，东哥？

大东：有啊！在2020年7月，它利用匿名化Tor建立赎金支付与数据泄露平台，采用“威胁曝光企业数据+加密数据勒索”双重勒索策略。

小白：有最近的攻击案例吗？

大东：当然，在2021年12月Log4j的（CVE-2021-44228）漏洞被曝光后，Conti勒索软件运营者就开始利用存在该漏洞的VMWare vCenter进行横向移动。

小白：没错，我记起来了，这么危险的漏洞，Conti是不能放过的！

大东：国内公司通过分析，发现该组织与Wizard Spider黑客组织（运营Ryuk勒索软件）的分支机构Grim Spider存在一定关联。

小白：有什么迹象能够确定这种关系吗？

大东：经过分析发现，二者采用的攻击工具存在部分相同之处，攻击载荷代码段相似，都曾利用TrickBot、Emotet、IcedID和BazarLoader等木马程序进行传播。而且Ryuk勒索软件攻击活跃度近期也逐渐降低。

Ryuk勒索案例（图片来自网络）

小白：原来如此，那Conti勒索软件没准就会成为Ryuk勒索软件的继承者。那话说回来，本次台达电子被Conti勒索的事件严重吗，东哥？

大东：在发布的被攻击声明中，台达电子宣称攻击并未影响其核心生产系统。

小白：怎么可能不影响，这应该是想稳定“军心”吧。

大东：没错，据当地媒体报道，有记者已获得一份内部事件报告副本，报告数据显示，台达电子的12000多台计算机和1500多台服务器已被攻击者加密。

小白：这么多台设备已经被加密了，那正常的生产会不会受到影响啊？

大东：目前尚不清楚此次攻击是否会对其客户的产品供应造成影响。台达电子表示公司已在第一时间发现了攻击，并组织了安全团队进行了干预，对受感染系统采取措施，并开始恢复运营。同时，公司正与趋势科技和微软合作，争取尽量减小损失。

小白：那Conti索要的赎金是多少呢？

大东：据称，攻击者向台达电子索要1500万美元的赎金。但目前Conti的勒索攻击的数据公布网站尚未提及台达电子的名称，可能双方仍在就赎金支付进行谈判。

小白：一定要将损失降到最低呀！那对于不能恢复的系统网站，台达有什么策略吗？

大东：据知情人士透露，台达电子尚未恢复大部分系统，其官方网站仍处于瘫痪状态，该公司正在使用一台替代的Web服务器与客户保持联系。

三、大话始末

小白：对于Conti勒索软件团伙，有哪些比较经典的案例可以介绍一下吗，东哥？

大东：在2021年5月14日，爱尔兰卫生服务执行局（HSE）多家医院的服务被取消和中断，原因是遭受了Conti勒索软件攻击。

小白：Conti窃取了哪些数据呢？

大东：Conti勒索软件攻击者声称从HSE窃取了包括患者信息和员工信息、合同、财务报表、工资单等700GB的未加密文件。

小白：还有其他的案例吗？

大东：同样在2021年5月，美国俄克拉荷马州塔尔萨市的在线账单支付系统、公用事业账单系统和电子邮件系统都因conti勒索软件的攻击而中断服务。

小白：这次攻击窃取的数据规模多大呢？

大东：Conti勒索软件背后的攻击组织表示已经公开窃取到的18938份文件。

小白：有攻击政府部门的案例吗？

大东：当然有，2021年10月，高端珠宝商Graff（总部位于英国伦敦）遭受Conti勒索软件攻击，包含众多名人、政治家和国家元首的数据文件被窃取。

小白：元首数据都有？

大东：没错，在窃取数据后，Conti在其Tor网站上发布了数万份文件。

小白：这么重要的元首信息被泄露，最后是怎么处理的呢？

大东：迫于政治压力，2021年11月4日Conti便发表了声明，任何与沙特阿拉伯、阿联酋和卡塔尔家庭成员有关的信息将被删除，并向穆罕默德·本·萨勒曼王子殿下和其他所有王室成员致歉。

小白：看来Conti的攻击分布的领域还挺广泛，窃取的数据规模还不小！

大东：Conti勒索软件通过Tor建立网站，自2020年7月29日公布第一个受害者信息以来，截至2021年12月15日，共计公布了631个受害者信息，其中，2021年在全球范围内影响了超过470个组织机构。

四、小白内心说

小白：这么肆意妄为的Conti，我们有哪些比较高效的防御手段来抵御勒索攻击呢？

大东：目前来看，为针对该勒索软件，我们还是要多多听取专家的建议。

小白：有哪些具体的建议呢？

大东：对于个人防护层面，我们一定要强化终端防护，比如安装反病毒软件，并开启勒索病毒防御工具模块。以此来保障我们的终端安全。

小白：除了安装病毒查杀软件，还有别的建议吗？

大东：其次就是要加强口令密码强度，避免使用弱口令，建议使用16位或更长的密码，包括大小写字母、数字和符号在内的组合，同时避免多个服务器使用相同口令。对于数据层面，一定要定期进行重要数据备份，且备份数据应与主机隔离。

小白：那对于企业层面，有哪些具体的防护建议呢？

大东：在日常生产中，企业一定要开启相关日志，开启关键日志收集功能，如安全日志、系统日志、PowerShell日志、IIS日志、错误日志、访问日志、传输日志和Cookie日志等，为安全事件的追踪溯源提供基础。

小白：除了日志层面，还有别的层面吗？

大东：对于恶意连接的识别，一定要设置IP白名单规则，配置高级安全Windows防火墙，设置远程桌面连接的入站规则，将使用的IP地址或IP地址范围加入规则中，阻止规则外IP进行暴力破解。

小白：除了这些配置建议，有哪些建议企业部署的安全防御系统吗？

大东：建议企业部署入侵检测系统（IDS），部署流量监控类软件或设备，便于对勒索软件及时发现与追踪溯源。

小白：IDS有哪些呢？

大东：比如威胁检测系统（PTD），这类系统以网络流量为检测分析对象，能精准检测出已知海量恶意代码和网络攻击活动，有效发现网络可疑行为、资产和各类未知威胁。

小白：除了这些硬性的防御机制，还有哪些软性的防御工作需要对企业强调的吗，东哥？

大东：千万不要忘记灾备预案，建立安全灾备预案能够确保备份业务系统在收到恶意攻击后可以快速启用，不耽误正常生产。

参考资料：

1. Conti勒索软件分析报告https://new.qq.com/rain/a/20211220A0BHV600

2. Ryuk继任者Conti发布数据泄漏站点https://www.sohu.com/a/415338714_490113

3. 苹果和特斯拉供应商台达电子遭勒索攻击https://baijiahao.baidu.com/s?id=1724360208718663337&wfr=spider&for=pc

4. 【安全圈】印尼央行遭勒索软件袭击，超13GB数据外泄https://new.qq.com/omn/20220121/20220121A0AB3R00.html

来源：中国科学院信息工程研究所