ภาพรวม ของ คอนติ

คอนติได้รับการพัฒนาโดยกลุ่มแฮ็คเกอร์วิซาร์ดสไปเดอร์ (Wizard Spiders) ที่สันนิษฐานว่ามีที่ตั้งอยู่ในนครเซนต์ปีเตอร์สเบิร์ก ประเทศรัสเซีย และในประเทศยูเครน[8] ซึ่งกลุ่มนี้พัฒนาแรนซัมแวร์ Ryuk ด้วย[9]

วิซาร์ดสไปเดอร์ดำเนินการรูปแบบระบบการให้บริการ Ransomware as a Service (RaaS) แต่แตกต่างจากกลุ่มอื่น ๆ คือจะจ่ายเงินให้กับผู้โจมตีที่ควบคุมแรนซัมแวร์ แทนที่จะแบ่งจ่ายค่าไถ่ให้กับผู้มีส่วนเกี่ยวข้อง[4]

รายละเอียดการคุกคาม

ซอฟต์แวร์ไมโครซอฟท์ วินโดว์ ทุกรุ่นได้รับผลกระทบ[1] ขณะที่ แม็คโอเอส, ลินุกซ์ และแอนดรอยด์ ไม่ถูกคุกคาม[10]

ผู้โจมตีโดยใช้คอนติใช้เทคนิคและเครื่องมือที่หลากหลายในการแทรกซึมระบบ รวมถึงการโจมตีแบบสเปียร์ฟิชชิ่ง, ซอฟต์แวร์การตรวจสอบและการจัดการจากระยะไกล และซอฟต์แวร์เดสก์ท็อประยะไกล[4]

บริษัทรักษาความปลอดภัยแอดวานซ์อินเทลลิเจนซ์ (Advanced Intelligence) รายงานว่าคอนติและแรนซัมแวร์อื่น ๆ กำลังหาวิธีใช้ประโยชน์จากช่องโหว่ของ อะแพชี Log4j (ช่องโหว่ Log4Shell หรือ CVE-2021-44228)[11]

พฤติกรรม

เมื่ออยู่ในระบบ คอนติจะพยายามลบ Volume Shadow Copy และ ข้อมูลสำรองของวินโดว์[1] ใช้ตัวจัดการการรีสตาร์ตเพื่อหยุดบริการต่าง ๆ และตรวจสอบให้แน่ใจว่าไฟล์ที่เหยื่อใช้นั้นถูกเข้ารหัส ปิดใช้งานการตรวจสอบแบบเรียลไทม์ และถอนการติดตั้งแอปพลิเคชัน Windows Defender[1]

คอนติพยายามกระจายความเสียหายไปยังเครื่องใกล้เคียงผ่านเครือข่าย ลักษณะการทำงานเริ่มต้นคือพยายามตรวจหา Server Message Block (SMB) ของไดรฟ์เครือข่ายและบังคับให้มีการเข้ารหัสไฟล์ทั้งหมดเสมือนว่าอยู่ในเครื่อง[10] แรนซัมแวร์นี้ใช้มาตรฐานการเข้ารหัส AES-256 พร้อมลอจิคัลเธรดแยกกันมากถึง 32 เธรด ทำให้สามารถเข้ารหัสได้เร็วกว่าแรนซัมแวร์อื่น ๆ[1] ด้วยเหตุนี้ การใช้งานหน่วยประมวลผลกลาง การทำงานของอุปกรณ์ และประสิทธิภาพระบบ จึงได้รับผลกระทบเช่นกัน แต่คอนติพยายามทำภารกิจในการเข้ารหัสให้สำเร็จเร็วกว่าความเสี่ยงที่จะถูกค้นพบ[10]

โฟลเดอร์ต่าง ๆ เช่น Windows, boot, temp และไฟล์ที่มีนามสกุล เช่น .DLL, .exe, .sys และ .lnk จะไม่รวมอยู่ในการเข้ารหัส[1] นอกจากนี้ยังสามารถกำหนดเป้าหมายไดรฟ์เฉพาะหรือที่อยู่ไอพีแต่ละรายการโดยขึ้นอยู่กับชุดตัวเลือก[1][2] เมื่อเข้ารหัสโดยคอนติเวอร์ชันเก่าจะมีการเพิ่มนามสกุลไฟล์ .CONTI หรือ .[A-Z]{5} ให้กับชื่อไฟล์ แต่สำหรับเวอร์ชันล่าสุดจะไม่มีการใช้นามสกุล .CONTI ในชื่อไฟล์อีกต่อไป[10]

เมื่อการเข้ารหัสเสร็จสิ้น ไฟล์ชื่อ "Conti_README.txt" หรือ "readme.txt" จะถูกสร้างขึ้น[10] ซึ่งระบุข้อความรวมถึงข้อมูลการติดต่อสำหรับผู้ที่ตกเป็นเหยื่อและคำแนะนำเกี่ยวกับวิธีการชำระค่าไถ่ ไซต์ชื่อ "CONTI Recovery service" ใน URL สำหรับติดต่อจะแนะนำให้เหยื่ออัปโหลดไฟล์ readme.txt เพื่อติดต่อกับผู้โจมตี[10]

การข่มขู่

การโจมตีมีการขู่เรียกร้องค่าไถ่สองกรณีคือ เพื่อยกเลิกการเข้ารหัส (ถอดรหัส) และขู่ว่าจะทำให้ข้อมูลที่ถูกขโมยรั่วไหล ในเดือนตุลาคม พ.ศ. 2564 ผู้โจมตีด้วยคอนติประกาศอย่างแข็งกร้าวว่าจะเปิดเผยข้อมูลที่ได้รับ เนื่องจากไม่พอใจที่มีการรั่วไหลของข่าวระหว่างการเจรจากับเหยื่อคือบริษัทเจวีซีเคนวูด (JVC Kenwood)[12]

การกู้คืนข้อมูล

มีหลายกรณีที่แม้ว่าจะจ่ายเงินค่าไถ่แล้ว แต่ไฟล์ก็ไม่สามารถกู้คืนได้ มีการชี้ให้เห็นด้วยว่ากลุ่มอาชญากรมีการตอบสนองที่ไม่ซื่อสัตย์[5] หน่วยเทคโนโลยีสารสนเทศของระบบดูแลสุขภาพแห่งชาติของสหราชอาณาจักร (NHS Digital) กล่าวว่าวิธีเดียวในการกู้คืนระบบคือการกู้คืนไฟล์ที่เข้ารหัสทั้งหมดจากการสำรองข้อมูลที่มีล่าสุด[1]

การวิจัย

บริษัทรักษาความปลอดภัยทางไซเบอร์ วีเอ็มแวร์คาร์บอนแบล็ก (VMware Carbon Black) ได้เผยแพร่รายงานทางเทคนิคเกี่ยวกับคอนติ[2][13]

ใกล้เคียง

แหล่งที่มา

WikiPedia: คอนติ https://www.asahi.com/articles/DA3S15060339.html https://blogs.blackberry.com/ja/jp/2021/06/threat-... https://www.carbonblack.com/blog/tau-threat-discov... https://www.forbes.com/sites/barrycollins/2021/03/... https://gentosha-go.com/articles/-/38316 https://www.jiji.com/jc/article?k=2021092900959&g=... https://jp.reuters.com/article/ireland-cyber-idJPK... https://www.security-next.com/130267 https://www.theregister.com/2021/05/14/ireland_hse... https://japan.zdnet.com/article/35165502/