Η συμμορία του Conti ransomware απέτυχε να κρυπτογραφήσει τα συστήματα του Υπουργείου Υγείας της Ιρλανδίας (DoH) παρά το ότι παραβίασε το δίκτυό του και «έριξε» Cobalt Strike beacons για να αναπτύξει το malware της στο δίκτυο. Την ίδια μέρα, οι χάκερς της συμμορίας παραβίασαν το δίκτυο του δημοσίου συστήματος υγειονομικής περίθαλψης της χώρας (HSE), και το ανάγκασαν να θέσει εκτός λειτουργίας όλα τα συστήματα IT του, προκειμένου να περιορίσει την έκταση της επίθεσης.
Το Ιρλανδικό Υπουργείο Περιβάλλοντος, Κλίματος και Επικοινωνιών δήλωσε τα ακόλουθα: «Το Εθνικό Κέντρο Κυβερνοασφάλειας (NCSC) έμαθε στις 13 Μαΐου ότι χάκερς προσπάθησαν να επιτεθούν στο Υπουργείο Υγείας. Αυτή η απόπειρα επίθεσης παραμένει υπό έρευνα, ωστόσο υπάρχουν ενδείξεις ότι επρόκειτο για ransomware επίθεση παρόμοια με εκείνη που επηρέασε το HSE.»
Διαβάστε επίσης: H ransomware συμμορία Conti ζητά $ 20 εκατ. από το ιρλανδικό HSE
Το NCSC παρείχε περισσότερες λεπτομέρειες σχετικά με την επίθεση και επιβεβαίωσε τη σύνδεση μεταξύ των δύο περιστατικών, λέγοντας πως οι δύο «επιθέσεις πιστεύεται ότι αποτελούν μέρος της ίδιας εκστρατείας που στοχεύει τον ιρλανδικό υγειονομικό τομέα».
Το NCSC ειδοποιήθηκε για ύποπτη δραστηριότητα στο δίκτυο του Υπουργείου Υγείας το απόγευμα της 13ης Μαΐου.
Οι ερευνητές ανακάλυψαν τα Cobalt Strike beacons που αναπτύχθηκαν στο δίκτυο, ένα εργαλείο που χρησιμοποιείται συνήθως από ransomware συμμορίες για την ανάπτυξη κακόβουλων payloads και την κρυπτογράφηση συστημάτων σε ολόκληρο το δίκτυο.
Το επόμενο πρωί, μια επίθεση του Conti ransomware απενεργοποίησε ορισμένες από τις συσκευές του HSE, αναγκάζοντας την υπηρεσία υγείας να κλείσει ολόκληρη την υποδομή IT της για να περιορίσει τον αντίκτυπο.
Δείτε ακόμη: Νέα απειλή: Ransomware επιθέσεις με τριπλό εκβιασμό
Περίπου την ίδια στιγμή, μια δεύτερη επίθεση του Conti που προσπαθούσε να εκτελέσει ransomware payloads για την κρυπτογράφηση των συστημάτων του Υπουργείου Υγείας της Ιρλανδίας, αποκλείστηκε από το antivirus software και τα εργαλεία που αναπτύχθηκαν από τους ερευνητές την προηγούμενη μέρα.
Η Ιρλανδική κυβέρνηση ανέφερε σε σχετική της δήλωση τα εξής: «Το Υπουργείο Υγείας έχει εφαρμόσει σχέδιο απόκρισης, συμπεριλαμβανομένης της αναστολής ορισμένων λειτουργιών του συστήματος IT του προληπτικά.»
Το NCSC επεσήμανε επίσης ότι το δείγμα ransomware που χρησιμοποιήθηκε κατά τη διάρκεια αυτών των επιθέσεων, προσαρτά την επέκταση .FEEDC στα κρυπτογραφημένα αρχεία. Η συμμορία του Conti ισχυρίστηκε ότι είχε πρόσβαση στο δίκτυο του HSE για πάνω από δύο εβδομάδες και ότι κατάφερε να κλέψει 700 GB μη κρυπτογραφημένων αρχείων, συμπεριλαμβανομένων στοιχείων υπαλλήλων και ασθενών, οικονομικών καταστάσεων, μισθοδοσίας και συμβολαίων.
Είπε επίσης ότι το HSE θα πρέπει να πληρώσει 9.999.000$ λύτρα για να διαγράψει η συμμορία όλα τα κλεμμένα δεδομένα από τους servers της και να παράσχει έναν αποκρυπτογράφο.
Πρόταση: AXA ασφαλιστική: Ransomware στόχευσε ασιατικά υποκαταστήματα
Παρόλο που το περιστατικό έχει οδηγήσει σε εκτεταμένη διαταραχή που επηρεάζει τις υπηρεσίες υγειονομικής περίθαλψης της Ιρλανδίας, ο πρωθυπουργός της Ιρλανδίας, Taoiseach Micheál Martin, δήλωσε ότι το HSE δεν θα πληρώσει τα απαιτούμενα λύτρα.
Το Conti ransomware είναι μια Ransomware-as-a-Service (RaaS) επιχείρηση που πιστεύεται ότι λειτουργεί από μια ρωσική hacking ομάδα γνωστή ως «Wizard Spider». Το Conti μοιράζεται τον ίδιο κώδικα με το Ryuk Ransomware, του οποίου τα TrickBot-powered κανάλια διανομής ανέλαβαν μετά τη μείωση της δραστηριότητας της Ryuk, γύρω στον Ιούλιο του 2020.
Προηγουμένως, η συμμορία του Conti ransomware έπληξε επίσης την Υπηρεσία Προστασίας του Περιβάλλοντος της Σκωτίας (SEPA) και διέρρευσε περίπου 1,2 GB κλεμμένων δεδομένων στο data leak site της στο dark web.
Πηγή πληροφοριών: bleepingcomputer.com
