US Cybersecurity and Infrastructure Security Agency (CISA) ได้อัปเดตการแจ้งเตือน IOC ของ Conti ransomware ซึ่งประกอบด้วยชื่อโดเมนเกือบ 100 ชื่อที่ทางกลุ่มใช้ในการดำเนินการที่ผ่านมา
การแจ้งเตือนเกี่ยวกับ Conti Ransomware ถูกเผยแพร่ครั้งแรกตั้งแต่วันที่ 22 กันยายน พ.ศ. 2564 โดยมีรายละเอียดที่ CISA และสำนักงานสืบสวนสหรัฐอเมริกา (FBI) ให้ข้อมูลรายละเอียดของการโจมตีจาก Conti ransomware ที่กำหนดเป้าหมายเป็นองค์กรต่างๆ ในสหรัฐอเมริกา ส่วนข้อมูลอัพเดทครั้งล่าสุดเป็นข้อมูลจาก US Secret Service
Conti IoC domains
ข้อมูลภายในของกลุ่ม Conti ransomware เริ่มถูกปล่อยออกมาในเดือนกุมภาพันธ์ หลังจากที่กลุ่มประกาศต่อสาธารณชนว่าพวกเขาเข้าข้างรัสเซียในการบุกยูเครน
ข้อมูลถูกปล่อยออกมาจากนักวิจัยชาวยูเครน ซึ่งในช่วงแรกเค้าได้เผยแพร่ข้อความส่วนตัวที่เป็นการพูดคุยกันกับสมาชิกของกลุ่ม จากนั้นจึงปล่อยซอร์สโค้ดของแรนซัมแวร์ หน้าที่ใช้สำหรับผู้ดูแลระบบ และเครื่องมืออื่นๆ ข้อมูลยังรวมถึงโดเมนที่ใช้กับ BazarBackdoor ซึ่งเป็นมัลแวร์ที่ใช้สำหรับการเข้าถึงเครือข่ายเป้าหมายก่อนในเบื้องต้นอีกด้วย
CISA กล่าวว่ากลุ่ม Conti ได้ทำการโจมตีองค์กรมากกว่า 1,000 แห่งทั่วโลก โดยการโจมตีที่พบมากที่สุดคือมัลแวร์ TrickBot และ Cobalt Strike beacons
วันนี้ทางหน่วยงานได้เผยแพร่รายชื่อโดเมนจำนวน 98 ชื่อซึ่งมี "ลักษณะการลงทะเบียน และการตั้งชื่อที่คล้ายคลึงกัน" กับที่ใช้ในการโจมตีของกลุ่ม Conti ransomware ทางหน่วยงานยังตั้งข้อสังเกตว่าในขณะที่โดเมนส่วนใหญ่ถูกใช้ดำเนินการที่เป็นอันตราย แต่โดเมนบางส่วน "อาจมีลักษณะที่คล้ายคลึงกันโดยบังเอิญ"
รายชื่อโดเมนที่เกี่ยวข้องกับกลุ่ม Conti ransomware
แม้จะถูกปล่อย Internal chat และเครื่องมือต่างๆที่ใช้ในการโจมตี แต่ทางกลุ่ม Conti Ransomware ก็ยังไม่ได้หยุดปฏิบัติการการโจมตีของพวกเค้า
นับตั้งแต่ต้นเดือนมีนาคม Conti ได้ประกาศชื่อของเหยื่อที่ถูกโจมตีลงบนเว็บไซต์ของพวกเค้า ซึ่งพบว่ามีองค์กรต่างๆที่ถูกโจมตีอยู่ในสหรัฐอเมริกาแคนาดา เยอรมนี สวิตเซอร์แลนด์ สหราชอาณาจักร อิตาลี เซอร์เบีย และซาอุดีอาระเบีย
ที่มา : bleepingcomputer
You must be logged in to post a comment.