Sophos 研究披露 Conti 勒索軟體集團在雙重勒索軟體攻擊中加密了 Karma 的勒索訊息

Sophos 是新一代網路安全的全球領導者，發表一次雙重勒索軟體攻擊的調查結果，其中 Karma 勒索軟體集團留下的勒索訊息在 24 小時後，被同時待在受害者網路中的另一個勒索軟體集團 Conti 加密了。Sophos 在文章《Conti 和 Karma 攻擊者同時利用 ProxyShell 漏洞攻擊醫療機構》中詳細介紹了這一起雙重攻擊，解釋這兩個集團如何透過未經修補的 Microsoft Exchange Server 入侵網路，然後使用不同的手法進行攻擊。

Sophos 資深威脅研究員 Sean Gallagher 表示：「遭受雙重勒索軟體攻擊對於任何組織來說都是一場噩夢。在估計長達四天的時間裡，Conti 和 Karma 攻擊者同時活躍在受害者網路中，相互移動、下載和執行各種指令碼、安裝 Cobalt Strike 信標，並且收集和外洩資料。

「Karma 首先到達攻擊最後階段並在電腦上發布了勒索訊息，索取比特幣贖金否則就要公布竊取到的資料。然後 Conti 出擊了，用更傳統的勒索軟體攻擊加密受害者的資料。奇怪的是，Conti 勒索軟體竟然加密了 Karma 的勒索訊息。

「我們最近看到幾起勒索軟體集團 (包括 Conti) 使用 ProxyShell 漏洞入侵受害者網路的案例，還看到多組攻擊者利用同一個漏洞取得受害者存取權限的例子。不過，很少有兩個勒索軟體集團同時攻擊一個目標，這代表勒索軟體這個領域已經變得非常擁擠和競爭。」

雙重攻擊

Sophos 認為，第一次事件始於 2021 年 8 月 10 日，當時攻擊者 (可能是初始存取代理人，IAB) 使用 ProxyShell 漏洞入侵網路，並在受感染的伺服器上建立立足點。Sophos 調查顯示，在 Karma 於 2021 年 11 月 30 日現身之前將近四個月，有超過 52 GB 的資料被外洩到雲端。

2021 年 12 月 3 日這一天發生了三件事：

• Karma 攻擊者在 20 台電腦上張貼勒索訊息，要求贖金，還解釋說他們並未加密資料，因為受害者是醫療機構

• Conti 悄悄地在背後運作，同樣在竊取資料

• 這家受害機構後來尋求 Sophos 事件回應團隊的協助來解決 Karma 的問題

在 Sophos 參與期間，Conti 於 2021 年 12 月 4 日部署了勒索軟體。Sophos 隨後追蹤，發現 Conti 攻擊的起點是在 2021 年 11 月 25 日，利用另一個 ProxyShell 漏洞入侵受害機構。

Gallagher 補充：「無論是 IAB 對兩個不同勒索軟體集團出售存取權限，還是未經修補的 Exchange 伺服器就是勒索軟體集團的目標，雙重攻擊存在的這個事實，將大力提醒人們盡速修補連網設備上的漏洞。

「深度防禦對於在攻擊鏈的任何階段識別和阻止攻擊者非常重要，而主動、以人為主導的威脅捕獵應該調查所有潛在的可疑行為，例如預期之外的遠端存取服務登入，或是不正常使用合法工具的情形，因為它們都可能是勒索軟體攻擊的早期預警信號。」

Sophos 端點產品 (例如 Intercept X) 能透過偵測勒索軟體和其他攻擊的動作和行為來保護使用者，例如 Sophos 研究中描述的攻擊。 

如需詳細資訊，請閱讀文章《Conti 和 Karma 攻擊者同時利用 ProxyShell 漏洞攻擊醫療機構》。

其他資源

• 如需不斷演變的網路威脅態勢的更多詳細資訊，請參見《Sophos 2022 年威脅報告》

• SophosLab Uncut 上取得針對不同類型威脅的策略、技術和程序 (TTP) 以及更多內容，可使用 Sophos 最新的威脅情報

• 在Sophos 新聞上找到攻擊者行為、事件報告和針對安全營運專業人員的建議

• 了解 Sophos Rapid Response 服務的更多資訊，該服務可全天候遏阻、消除和調查攻擊

• Sophos Rapid Response 和 Managed Threat Response 團隊對回應安全事件的四個重要提示

• 由我們獲獎的 Naked Security 取得最新的安全新聞和觀點，並由 Sophos News 觀看更多關於我們的介紹

關於 Sophos

Sophos 是新一代網路安全的全球領導者，保護 150 多個國家/地區的 50 萬家企業和數百萬消費者免受當今最先進的網路威脅的危害。透過來自 SophosLabs 和 SophosAI 的威脅情報、人工智慧和機器學習，Sophos 提供多種先進的產品和服務組合，保護使用者、網路和端點免於勒索軟體、惡意軟體、漏洞利用、網路釣魚和其他網路攻擊。Sophos 提供一個整合式的雲端管理主控台 Sophos Central，這是自適應網路安全生態系統的核心，使用一個提供一整組開放式 API 的資料湖，可供客戶、合作夥伴、開發人員和其他網路安全廠商使用。Sophos 透過經銷商合作夥伴和託管服務供應商 (MSP) 在全球銷售產品和服務。Sophos 總部位於英國牛津。如需詳細資訊請瀏覽 www.sophos.com。