Conti-Ransomware im Rampenlicht
Weil Conti zu den derzeit aktivsten und berüchtigsten Ransomware-Familien geh?rt, sollten Unternehmen wissen, wie und mit welchen Mittel die Angriffe ablaufen. Wir haben die Einzelheiten und auch ausführliche Gegenma?nahmen zusammengestellt.
Save to Folio
Originalbeitrag von live casino online Research
Weil Conti zu den derzeit aktivsten und berüchtigsten Ransomware-Familien geh?rt, sollten Unternehmen wissen, wie und mit welchen Mittel die Angriffe ablaufen. Wir haben die Einzelheiten und auch ausführliche Gegenma?nahmen zusammengestellt.
Conti gilt als Nachfolger der Ryuk Ransomware und ist eine der derzeit berüchtigsten aktiven Ransomware-Familien, die unter anderem als bei hochrangigen Angriffen wie denen gegen Gesundheitseinrichtungen in und eingesetzt wurde. Die Hinterm?nner setzen auf und publizieren nicht nur die gestohlenen Daten, sondern , wenn diese sich weigern, das L?segeld zu bezahlen. Die Malware-Familie ist mit anderen Tarntechniken wie BazarLoader und weiteren Tricks ausgestattet und steht auf Platz zehn der am h?ufigsten entdeckten Angriffsversuche in der ersten H?lfte 2021. Das geht aus dem live casino online Sicherheitsüberblick zur Jahresmitte 2021 hervor. Die Kenntnisse und Details zur Conti-Familie sollen Reaktions- und Sicherheitsteams unterstützen, die Angriffe einfacher zu entdecken.
Conti-Angriffe wurden auf der ganzen Welt registriert, wobei die USA zwischen dem 1. Januar und dem 12. November 2021 über eine Million Angriffsversuche verzeichneten.
Bild 1. L?nder mit der h?chsten Anzahl von Angriffsversuchen mit Conti Ransomware (1. Januar bis 12. November 12 2021) (Quelle: live casino online? Smart Protection Network? infrastructure)
Die meisten Conti-Angriffsversuche gab es im Einzelhandel. Das Gesundheitswesen, auf das die Conti-Betreiber in diesem Jahr mit aufsehenerregenden Angriffen abzielten, steht auf der Liste an sechster Stelle.
Bild 2. Branchen mit der h?chsten Anzahl von Angriffsversuchen (1. Januar bis 12. November 2021) Quelle: live casino online? Smart Protection Network? Infrastructure
Infektionsketten
Conti kann über den Information Stealer BazarLoader ins System gelangen. Er wird über Phishing-Mails verbreitet, die einen Google Drive-Link enthalten, über den die Malware heruntergeladen wird, des Weiteren über die Ausnutzung der FortiGate-Firewall-Schwachstellen (CVE-2018-13379 und CVE-2018-13374) oder durch den Missbrauch der ProxyShell-Schwachstellen in Microsoft Exchange. Nach einer Phase der Erkundung versucht die Malware Dateien zu exfiltrieren und anschlie?end Admin-Zugangsdaten zu finden und die eigenen Privilegien zu erh?hen, um sich besser im System festzusetzen. Informieren Sie sich über die Details, m?glichen Schritte sowie MITRE-Techniken im Originalbeitrag. Auch bietet der Beitrag eine Zusammenfassung der Malware, Tools und Exploits, die Conti-Angriffe beinhalten k?nnen.
Empfehlungen
Um Systeme vor ?hnlichen Bedrohungen zu schützen, k?nnen Unternehmen Sicherheits-Frameworks einrichten, die systematisch Ressourcen für einen soliden Schutz vor Ransomware zuweisen. Die folgenden Best Practices k?nnen in diese Frameworks mit aufgenommen werden:
- Audit und Inventur der Assets und Daten: Identifizieren Sie autorisierte und nicht autorisierte Ger?te und Software und auditieren Sie Ereignis- und Vorfall-Logs.
- Konfiguration und ?berwachung von Hardware und Software: Gew?hren Sie Adminrechte und Zugriff nur dann, wenn dies für die Rolle eines Mitarbeiters erforderlich ist. ?berwachen sie Netzwerk-Ports, Protokolle und Services. Aktivieren Sie Sicherheitskonfigurationen auf Netzwerkinfrastrukturger?ten wie Firewalls und Routern, und erstellen Sie eine Software-Zulassungsliste, die nur legitime Anwendungen ausführt.
- Patchen und Updaten: Führen Sie regelm??ig Schwachstellenanalysen durch und bringen Sie Patches oder virtuelle Patches für Betriebssysteme und Anwendungen auf den neuesten Stand.
- Datenschutz-, Backup- und Wiederherstellungsma?nahmen: Aktivieren Sie Mehrfachauthentifizierung.
- Sichern und Verteidigung: Setzen Sie Sandbox-Analysen zum Blockieren von b?sartigen Mails ein. Implementieren Sie die neuesten Versionen von Sicherheitsl?sungen auf allen Ebenen des Systems, einschlie?lich Mail, Endpunkt, Web und Netzwerk. Erkennen Sie frühzeitig Anzeichen eines Angriffs, z. B. durch das Vorhandensein von verd?chtigen Tools im System. Nutzen Sie fortschrittliche Erkennungstechnologien wie KI und maschinelles Lernen.
- Schulung und Testen
Darüber hinaus kann ein mehrschichtiger Sicherheitsansatz Unternehmen dabei unterstützen, m?gliche Eintrittspunkte ins System (Endpoint, Mail, Web und Netzwerk) zu schützen. Diese L?sungen k?nnen b?sartige Komponenten und verd?chtiges Verhalten erkennen.
Eine zeigt nochmals auf einen Blick die Infektionswege, Tools und Auswirkungen von Conti-Angriffen.