Loader

В чатах ContiLeaks раскрыто более 30 уязвимостей, используемых программой Conti Ransomware. Как Tenable может помочь в борьбе с ними?

Частные сообщения между членами Conti в чатах форума Contileaks раскрывают бесценную информацию о том, как печально известная группа вымогателей захватывает системы жертв.

Утечки внутренних чатов между членами группы вымогателей Conti позволяют заглянуть в ее внутренние дела и получить ценные сведения, включая подробную информацию о более чем 30 уязвимостях, используемых группой и ее филиалами, а также специфику ее процессов после проникновения в сеть, например, как она нацеливается на Active Directory.

В этом статье Tenable предлагает справочную информацию о Conti — одной из наиболее продуктивных групп вымогателей, действующих сегодня, — изучим утечку информации и предложим конкретные советы о том, как защитить вашу организацию от атак Conti.

Справочная информация
Публикация ContiLeaks появилась 27 февраля — дело рук предполагаемого члена группы Conti, занимающейся распространением вымогательского ПО. Этот аноним выложил в открытый доступ серию внутренних чатов между членами группы.

Это не первый случай утечки конфиденциальной информации о группе. В августе 2021 года один из филиалов Conti опубликовал сборник учебных материалов, предоставленных аффилированным лицам, что позволило нам впервые получить представление о работе группы вымогателей.

Эти утечки позволили исследователям проанализировать большее количество тактик, техник и процедур, разрабатывающих индикаторы компрометации, связанных с этой группой.

Исследователи из Breach Quest опубликовали 9 марта статью с анализом ContiLeaks, в которой привели список уязвимостей, которые группа, по-видимому, использовала для атак на организации.

Что такое Conti?
Впервые обнаруженная исследователями из Carbon Black в 2020 году, Conti — это группа вымогателей, которая использует модель ransomware-as-a-service (вымогательство как услуга) для развертывания программы-вымогателя Conti.

Ransomware-as-a-Service (RaaS) предлагается группами вымогателей и предоставляет аффилированным лицам — киберпреступникам, желающим сотрудничать с группами RaaS, — доступ к готовому к внедрению вымогательскому ПО, а также руководство по проведению атак. Группы RaaS получают небольшую долю от выплаченных выкупов, предоставляя основную часть прибыли аффилированным лицам.

За последние два года компания Conti приобрела широкую известность, получив, по данным Chainalysis, 180 миллионов долларов прибыли от своих атак. Она также получила известность благодаря атакам на сектор здравоохранения, включая по меньшей мере 16 сетей здравоохранения и чрезвычайных ситуаций в США.

Наиболее заметной стала атака Конти на Управление здравоохранения Ирландии (HSE) в мае 2021 года, в ходе которой группа потребовала выкуп в размере 20 миллионов долларов, который HSE отказалась платить.
То, что Conti уделяет особое внимание сектору здравоохранения, неудивительно. В отчете «Ретроспектива ландшафта угроз 2021 года» было обнаружено, что 24,7% случаев нарушения данных в здравоохранении были результатом атак с использованием выкупного ПО, а само выкупное ПО стало причиной 38% всех нарушений, о которых стало известно в прошлом году.

Какие уязвимости использует Conti и ее аффилированные лица?
Группы разработчиков Ransomware, такие как Conti, используют различные тактики для проникновения в сети потенциальных целей. К ним относятся фишинг, вредоносное ПО и атаки грубой силы на протокол удаленного рабочего стола.

Конти также была связана с EXOTIC LILY, группой брокеров первоначального доступа (IAB). IAB ориентированы на получение вредоносного доступа к организациям с целью продажи этого доступа группам и аффилированным лицам, занимающимся рассылкой вымогательского ПО. Однако эксплуатация уязвимостей аутентификации до и после также играет важную роль в атаках программ-вымогателей.

В рамках утечки информации о партнерских программах были видны сообщения о том, что Conti и ее филиалы использовали уязвимости PrintNightmare и Zerologon против целей. Однако ContiLeaks раскрыл еще 29 уязвимостей, используемых группой.
Кроме того, есть сообщения, что Conti и ее филиалы использовали уязвимости в Fortinet FortiOS, обнаруженные в устройствах Fortinet SSL VPN, для получения первоначального доступа к целевым средам.
Ниже приводится разбивка типов уязвимостей, используемых компанией Conti и ее аффилированными лицами:

Уязвимости начального доступа

CVEDescriptionCVSS ScoreVPR
CVE-2018-13379Fortinet FortiOS Path Traversal/Arbitrary File Read Vulnerability9.89.8
CVE-2018-13374Fortinet FortiOS Improper Access Control Vulnerability8.88.4
CVE-2020-0796Windows SMBv3 Client/Server Remote Code Execution Vulnerability (“SMBGhost”)1010.0
CVE-2020-0609Windows Remote Desktop Gateway (RD Gateway) Remote Code Execution Vulnerability9.88.4
CVE-2020-0688Microsoft Exchange Validation Key Remote Code Execution Vulnerability Vulnerability8.89.9
CVE-2021-21972VMware vSphere Client Remote Code Execution Vulnerability9.89.5
CVE-2021-21985VMware vSphere Client Remote Code Execution Vulnerability9.89.4
CVE-2021-22005VMware vCenter Server Remote Code Execution Vulnerability9.69.4
CVE-2021-26855Microsoft Exchange Server Remote Code Execution Vulnerability («ProxyLogon»)9.89.9

*Обратите внимание: рейтинг приоритета уязвимостей Tenable (VPR) рассчитывается каждую ночь. Этот пост в блоге был опубликован 24 марта и отражает VPR в то время.

Уязвимости, связанные с несанкционированным получением прав

CVEDescriptionCVSS ScoreVPR
CVE-2015-2546Win32k Memory Corruption Elevation of Privilege Vulnerability6.99.6
CVE-2016-3309Windows Win32k Elevation of Privilege Vulnerability7.89.7
CVE-2017-0101Windows Elevation of Privilege Vulnerability7.89.7
CVE-2018-8120Windows Win32k Elevation of Privilege Vulnerability79.8
CVE-2019-0543Microsoft Windows Elevation of Privilege Vulnerability7.89.0
CVE-2019-0841Windows Elevation of Privilege Vulnerability7.89.8
CVE-2019-1064Windows Elevation of Privilege Vulnerability7.89.2
CVE-2019-1069Windows Task Scheduler Elevation of Privilege Vulnerability7.89.0
CVE-2019-1129Windows Elevation of Privilege Vulnerability7.88.9
CVE-2019-1130Windows Elevation of Privilege Vulnerability7.86.7
CVE-2019-1215Windows Elevation of Privilege Vulnerability7.89.5
CVE-2019-1253Windows Elevation of Privilege Vulnerability7.89.7
CVE-2019-1315Windows Error Reporting Manager Elevation of Privilege Vulnerability7.89.0
CVE-2019-1322Microsoft Windows Elevation of Privilege Vulnerability7.89.0
CVE-2019-1385Windows AppX Deployment Extensions Elevation of Privilege Vulnerability7.85.9
CVE-2019-1388 Windows Certificate Dialog Elevation of Privilege Vulnerability7.88.4
CVE-2019-1405Windows UPnP Service Elevation of Privilege Vulnerability7.89.7
CVE-2019-1458Win32k Elevation of Privilege Vulnerability7.89.7
CVE-2020-0638Update Notification Manager Elevation of Privilege Vulnerability7.85.9
CVE-2020-0787Windows Background Intelligent Transfer Service Elevation of Privilege Vulnerability7.89.7
CVE-2020-1472Windows Netlogon Elevation of Privilege Vulnerability («Zerologon»)1010.0
CVE-2021-1675Windows Print Spooler Remote Code Execution Vulnerability8.89.8
CVE-2021-1732Windows Win32k Elevation of Privilege Vulnerability7.89.7
CVE-2021-34527 Windows Print Spooler Remote Code Execution Vulnerability («PrintNightmare»)8.89.8

В Tenable также знают, что Conti и ее филиалы использовали CVE-2021-44228, также известный как Log4Shell, в рамках атак, начинающихся в конце 2021 года.

Использование уязвимостей, связанных с повышением привилегий
При рассмотрении влияния различных уязвимостей, раскрытых конкретно в сообщениях ContiLeaks, обнаруживается интересная закономерность: почти три четверти уязвимостей в списке — это уязвимости с повышением привилегий, что говорит о том, что группа в основном использует уязвимости, поддерживающие действия после эксплуатации.

Учитывая, что эта группа и ее филиалы могут найти различные точки входа в организацию вне уязвимостей, но для того, чтобы посеять хаос, им необходимо повысить привилегии, неудивительно, что большая часть их инструментария по уязвимостям сосредоточена на повышении привилегий.

Conti и Active Directory
Благодаря ContiLeaks теперь знаем, что Conti следует определенному набору шагов, как только попадает в сеть. Чтобы атаковать Active Directory (AD), группа будет искать привилегии администратора домена, что является обычным явлением для программ-вымогателей.

Для групп вымогателей – Active Directory является ценным инструментом, помогающим достичь намеченной цели — зашифровать системы в сети организации.

По данным BreachQuest, Conti и ее филиалы будут пытаться использовать Zerologon для получения привилегий администратора домена или будут искать «потенциально интересных людей» в AD организации.
Группа и ее филиалы нацелены на AD с помощью различных средств, в том числе:
· ADFind
· BloodHound
· Steal or Forge Kerberos Tickets (“Kerberoasting”)
· OS Credential Dumping: NTDS

Решение
Большинство уязвимостей, используемых группой программ-вымогателей Conti и ее филиалами, были исправлены за последние несколько лет. Самая старая уязвимость в этом списке была исправлена шесть лет назад в 2015 году.

Идентификация уязвимых систем
Список плагинов Tenable для выявления этих уязвимостей можно найти здесь.

Чтобы клиенты могли выявить все известные уязвимости, используемые группой вымогателей Conti и ее филиалами, Tenable скоро выпустит шаблоны сканирования, а панели инструментов для Tenable.io, Tenable.sc и Nessus Professional доступны уже сейчас.

Шаблон сканирования ContiLeaks

Панель мониторинга ContiLeaks для Tenable.io

Панель мониторинга ContiLeaks для Tenable.sc

Отчет ContiLeaks от Tenable.sc

Для получения дополнительной информации о панелях мониторинга и отчетах, пожалуйста, обратитесь к следующим статьям:

· ContiLeaks Tenable.io приборная панель
· Панель мониторинга ContiLeaks SC
· Шаблон отчета ContiLeaks SC

Индикаторы экспозиционного представления в Tenable.ad

Для клиентов, которые хотят защищать Active Directory есть решение — Tenable.ad для обнаружения и предотвращения в виде индикаторов воздействия (IoE) и индикаторов атак (IoA). IoE — это упреждающий способ поиска и устранения пробелов в инфраструктуре AD для устранения путей атак для групп программ-вымогателей и других киберпреступников, в то время как IoA обнаруживают атаки в режиме реального времени.

Пример предупреждения IOA о «распылении паролей»

Ниже приведен список IoEs и IoAs, полученных из результатов в ContiLeaks:

TacticsMITRE ATT&CKSolutionsType
Discovery (e.g. BloodHound)T1087.001, T1087.002, T1106, T1069.001, T1069.002Enumeration of local administratorsMassive computers reconnaissanceIoA
Privilege Escalation (Golden Ticket)T1558.001GoldenTicketIoA
Privilege Escalation (Zerologon)T1068Unsecured configuration of Netlogon protocolIoE
Credential Access (Bruteforce, Password Spraying)T1110.001, T1110.002, T1110.003, T1110.004Password GuessingPassword SprayingIoA
Credential Access (Collection and decryption of GPP Passwords)T1552.006Reversible passwords in GPOIoE
Credential Access (ntds.dit)T1003.003NTDS ExtractionIoA
Credential Access (Encrypted Passwords) T1003.003Reversible passwordsIoE
Credential Access (Kerberoasting)T1558.003KerberoastingIoA
Credential Access (Mimikatz)T1003.001OS Credential Dumping: LSASS MemoryIoA

Получить дополнительную информацию
· Conti ransomware gang chats leaked by pro-Ukraine member
· The Conti Leaks | Insight into a Ransomware Unicorn

По вопросам проведения индивидуальной демонстрации, пилотного тестирования решений Tenable и организации партнерских тренингов обращайтесь, пожалуйста, к нашей команде в Вашей стране:

Украина, Грузия, Арменияtenable_sales@oberig-it.com, +38 099 427 94 04.
Казахстанinfo.kz@oberig-it.com, +7 775 395 0803.
Узбекистан, Кыргызстан, Таджикистан, Туркменистанinfo.uz@oberig-it.com, +99897 746 83 40.
Молдова, Румынияinfo.md@oberig-it.com, +373 686 76535.
Азербайджанinfo.az@oberig-it.com, +994 50 6826105.

Источник: https://bit.ly/3xfQv5n