Nach Angaben des Federal Bureau of Investigation (FBI) hat Conti ransomware kürzlich gezielt Mindestens 16 Gesundheitsorganisationen in den USA, einschließlich Ersthelferorganisationen. Das FBI hat außerdem ein TLP: WHITE veröffentlicht, um Organisationen bei der Verteidigung gegen zukünftige Bedrohungen zu unterstützen
„Das FBI hat im letzten Jahr mindestens 16 Conti Ransomware-Angriffe auf US-amerikanische Gesundheits-und Ersthelfer-Netzwerke identifiziert, darunter Strafverfolgungsbehörden, Rettungsdienste, 9-1-1-Versandzentren und Kommunen.”Die FBI Cyber Division notierte in ihrem Ansage . „Diese Netzwerke für Gesundheitswesen und Ersthelfer gehören zu den mehr als 400 Organisationen weltweit, die von Conti betroffen sind, von denen sich über 290 in den USA befinden.“
Der Conti ist ein Ransomware-as-a-Service (RaaS). diese Zaubererspinne zieht sich zurück. Wizard Spider glaubt, eine in Russland ansässige Cybercrime-Gruppe zu sein, die ähnliche Angriffe auf Organisationen auf der ganzen Welt startet.
Die Conti Ransomware kann über böswillige E-Mail-Links, Anhänge oder gestohlene RDP-Anmeldeinformationen auf Opfernetzwerke zugreifen.
Opfer müssen den von den Angreifern angeforderten Betrag innerhalb von acht Tagen bezahlen. Wenn die Opfer innerhalb dieser Frist nicht zahlen, werden die Angreifer die Opfer über Voice Over Internet Protocol (VOIP) oder verschlüsselte E-Mails kontaktieren. Die Funktionsweise von Conti Ransomware ist einfach und ähnelt den anderen Gegenstücken wie Doppelpaymer.
Conti Ransomware zielt auf Gesundheitsorganisationen in den USA und weltweit ab.
Die Gesundheitsorganisationen in den USA sind nicht die Nur Opfer von Conti Ransomware . Der irische Health Service Executive (HSE) und das Gesundheitsministerium (DoH) sahen sich einem ähnlichen Fall gegenüber, in dem Angreifer von Conti ein Lösegeld in Höhe von 20 Millionen US-Dollar beantragten.
Natürlich konnte das DoH die Angriffe abwehren, aber die HSE musste ihre IT-Systeme herunterfahren.
Für Techniker Hier sind die Conti Ransomware-Indikatoren gemäß der Ankündigung des FBI: „Conti-Akteure verwenden Fernzugriffstools, die am häufigsten über die Ports 80, 443, 8080 und 8443 für die nationale und internationale VPS-Infrastruktur (Virtual Private Server) eingesetzt werden. Darüber hinaus Akteure kann Port 53 für die Persistenz verwenden. Große HTTPS-Übertragungen gehen an die Cloud-basierten Datenspeicheranbieter MegaNZ und pCloud. Weitere Indikatoren für die Conti-Aktivität sind das Auftreten neuer Konten und Tools-insbesondere Sysinternals-, die nicht von der Organisation installiert wurden, sowie die Deaktivierung der Endpunkterkennung und der konstanten DNS-Beacons (HTTP und Domain Name System) sowie die Deaktivierung der Endpunkterkennung. “
Wenn Sie IT-Administrator oder Sicherheitsexperte in einer Gesundheitsorganisation sind, beachten Sie diese Indikatoren, damit Sie Ihre Daten vor dieser Ransomware schützen können. Das FBI hat alle von Conti Ransomware angegriffenen Organisationen gebeten, ihre Informationen weiterzugeben.
