Kẻ thù đứng sau ransomware Conti đã nhắm mục tiêu không ít hơn 16 mạng lưới chăm sóc sức khỏe và mạng phản hồi đầu tiên ở Mỹ trong năm qua, hoàn toàn trở thành nạn nhân của hơn 400 tổ chức trên toàn thế giới, 290 trong số đó có trụ sở tại quốc gia này.
Đó là theo một cảnh báo chớp nhoáng mới được Cục Điều tra Liên bang Mỹ (FBI) đưa ra hôm thứ Năm.
Cơ quan này cho biết: “FBI đã xác định được ít nhất 16 cuộc tấn công ransomware Conti nhắm vào các mạng chăm sóc sức khỏe và người ứng cứu đầu tiên của Hoa Kỳ, bao gồm các cơ quan thực thi pháp luật, dịch vụ y tế khẩn cấp, trung tâm điều phối 9-1-1 và các thành phố tự trị trong năm ngoái”.
Các cuộc tấn công bằng mã độc tống tiền đã trở nên tồi tệ hơn trong những năm qua, với các mục tiêu gần đây rất đa dạng như chính quyền tiểu bang và địa phương, bệnh viện, sở cảnh sát và cơ sở hạ tầng quan trọng. Conti là một trong số nhiều chủng loại ransomware đã bắt đầu theo xu hướng đó, bắt đầu hoạt động vào tháng 7 năm 2020 với tư cách là một Ransomware-as-a-Service (RaaS) riêng, ngoài việc nhảy vào băng nhóm tống tiền kép bằng cách tung ra một trang web rò rỉ dữ liệu.
Dựa trên một phân tích được công bố bởi công ty khôi phục ransomware Coveware vào tháng trước, Conti là chủng phổ biến thứ hai được triển khai, chiếm 10,2% trong tổng số các cuộc tấn công ransomware trong quý đầu tiên của năm 2021.
Các ca nhiễm trùng liên quan đến Conti cũng đã xâm phạm mạng của Cơ quan Điều hành Dịch vụ Y tế Ireland ( HSE ) và Bộ Y tế ( DoH ), khiến Trung tâm An ninh Mạng Quốc gia (NCSC) phải đưa ra cảnh báo của chính mình vào ngày 16 tháng 5, nói rằng “có sự các tác động đến hoạt động y tế và một số thủ tục không khẩn cấp đang bị hoãn lại khi các bệnh viện thực hiện kế hoạch liên tục kinh doanh của họ. “
Các nhà khai thác Conti được biết đến với việc xâm nhập vào mạng doanh nghiệp và phát tán theo chiều ngang bằng cách sử dụng đèn hiệu Cobalt Strike trước khi khai thác thông tin đăng nhập của người dùng bị xâm phạm để triển khai và thực thi tải trọng ransomware, với các tệp được mã hóa được đổi tên bằng phần mở rộng “.FEEDC”. FBI cho biết các liên kết email độc hại được vũ khí hóa, hoặc thông tin đăng nhập Giao thức Máy tính Từ xa (RDP) bị đánh cắp là một số chiến thuật mà nhóm này sử dụng để đạt được chỗ đứng ban đầu trên mạng mục tiêu.
Cơ quan này lưu ý: “Các tác nhân được quan sát bên trong mạng nạn nhân trung bình từ bốn ngày đến ba tuần trước khi triển khai Conti ransomware”, cơ quan này lưu ý, đồng thời cho biết thêm số tiền chuộc được điều chỉnh cho phù hợp với từng nạn nhân, với nhu cầu gần đây lên tới 25 triệu đô la.
Cảnh báo cũng được đưa ra trong bối cảnh sự gia tăng của các sự cố ransomware trong những tuần gần đây, ngay cả khi những kẻ tống tiền tiếp tục tìm kiếm giá cắt cổ từ các công ty với hy vọng kiếm được một ngày lương khổng lồ, nhanh chóng. Công ty bảo hiểm CNA Financial được cho là đã trả 40 triệu đô la, trong khi Colonial Pipeline và Brenntag mỗi bên đã chi gần 4,5 triệu đô la để lấy lại quyền truy cập vào hệ thống mã hóa của họ