https://www.infosecurity-magazine.com/news/conti-encrypts-karma-ransomware/
「デュアルランサムウェア攻撃に見舞われることは、どの組織にとっても悪夢のシナリオです。推定タイムライン全体で、ContiとKarmaの攻撃者がターゲットのネットワークで同時にアクティブになり、お互いに移動し、ダウンロードし、スクリプトの実行、Cobalt Strikeビーコンのインストール、データの収集と盗み出しなど」と彼は説明しました。
「カルマは最初に攻撃の最終段階を展開し、盗まれたデータを公開しないことと引き換えにビットコインの支払いを要求するコンピューターに恐喝通知を落としました。その後、コンティが攻撃し、より伝統的なランサムウェア攻撃でターゲットのデータを暗号化しました。奇妙なひねりを加えて、コンティランサムウェアはカルマの恐喝ノートを暗号化しました」
Karmaの攻撃は、おそらく最初のアクセスブローカーがProxyShellエクスプロイトを介して侵害したパッチが適用されていないMicrosoftExchangeサーバーを見つけた8月に始まりました。
HCOは、身代金メモが12月3日に届いたら、攻撃を支援するためにソフォスに電話をかけましたが、その1日後、Contiが攻撃し、サーバーを暗号化するためにランサムウェアを配備しました。
このグループは、Webシェルをドロップする前に、同じ公開サーバーでProxyShellを悪用し、Cobalt Strikeビーコンをダウンロードし、PowerShellを使用して横方向に移動し、データを盗み出すことで、最初の足がかりを得ることができました。
Contiは同じ犠牲者ネットワークでカルマ身代金メモを暗号化します
security summary
コメント