Ransomware-variant Conti, de ‘dubbele afperser’ die vijf dagen lang werd gevolgd en geëlimineerd
Het onderzoekslab van Sophos hebben in Conti een nieuwe ransomware-variant ontdekt. Een van het kaliber ‘dubbele afpersing’ waarbij de aanvallers data van hun slachtoffers ontvreemden voordat ze deze versleutelen. Vervolgens dreigen de cybercriminelen ermee dat zij de gestolen informatie op de 'Conti News'-site openbaar maken wanneer slachtoffers geen gehoor aan de losgeldvoorwaarden geven. Deze aanvalsstrategie en hoe ertegen op te treden, is terug te vinden in A Conti Ransomware Day-By-Day dat de onderzoekers hebben geschreven.
Het Sophos Rapid Response-team werd ingeschakeld om het incident, dat zich gedurende vijf dagen afspeelde vanaf het eerste compromis tot het herstel van de productie, in te dammen, te neutraliseren en te onderzoeken. "Bij aanvallen waarbij mensen de controle hebben, kunnen tegenstanders zich in real-time aanpassen en reageren op veranderende situaties", zegt Peter Mackenzie, manager van Sophos Rapid Response. “In dit geval hadden de aanvallers tegelijkertijd toegang gekregen tot twee servers. Toen het doelwit een van de servers detecteerde en (op tijd) uitschakelde, schakelden de aanvallers gewoon over en zetten zij hun aanval voort op de tweede server. Een ‘Plan B’ komt veel voor bij door ‘mensen’ geleide aanvallen. Het wil ook zeggen dat wanneer verdachte activiteiten op een netwerk een halt zijn toegeroepen het niet betekent dat de aanval écht voorbij is.”
De site ‘Conti News’ heeft gegevens gepubliceerd die tot op heden zijn gestolen van ten minste 180 slachtoffers. Sophos heeft een slachtofferschapsprofiel gemaakt op basis van de gegevens die op Conti News zijn gepubliceerd.
"Binnen bedrijven zonder een toegewijd IT-beveiligingsteam is het vaak de IT-beheerder zelf die oog in oog staat met een ransomware-aanval", aldus Mackenzie. "Zij zijn degenen die op een ochtend naar hun werk komen om te zien dat alles vergrendeld is met een losgeldbriefje op het scherm. Soms wordt dit opgevolgd met dreigende e-mails en telefoontjes. Op basis van onze ervaringen met het opsporen van bedreigingen uit eerste hand, hebben we een actielijst ontwikkeld die IT-beheerders door de zeer uitdagende en stressvolle eerste uren en dagen na een Conti-ransomware-aanval heen helpt, te begrijpen waar ze hulp kunnen krijgen om de basis te leggen voor een veiligere toekomst.”
Hoe kun je als organisatie je tegen Conti weren?
- Sluit toegang vanaf internet tot het Remote Desktop Protocol (RDP) af om cybercriminelen de toegang tot netwerken te ontzeggen
- Indien toegang tot RDP nodig is, plaats deze dan achter een VPNverbinding
- Gebruik gelaagde beveiliging om cyberaanvallen te voorkomen, ertegen te beschermen en ze te detecteren (inclusief Endpoint Detection and Responsmogelijkheden en beheerde responsteams die 24/7 netwerken bekijken)
- Let op de vijf indicatoren dat een aanvaller aanwezig is zodat een ransomwareaanval kan worden gestopt
- Zorg voor een effectief responsplan en werk dit indien nodig bij. Eventueel kan ook de hulp van een externe expert van toegevoegde waarde zijn