Den berygtede Konti ransomware er blevet opdateret med en spændende kapacitet – ødelægge offerets sikkerhedskopier.
Conti ransomware jagter efter Veeam -privilegerede brugere og tjenester
Ifølge en detaljeret rapport fra Vitali Kremez og Yelisey Boguslavskiy fra Advanced Intelligence, Conti jagter efter Veeam -privilegerede brugere og tjenester, og udnytter adgangen, eksfiltrere, fjerne og kryptere sikkerhedskopier for at sikre, at ransomware-brud ikke kan sikkerhedskopieres.
Det er bemærkelsesværdigt, at Avanceret Efterretnings rapport er baseret på deres faktiske offerovertrædelsesintelligens og hændelsesrespons, ikke på et simuleret eller sandkassemiljø.
En af rapportens centrale konklusioner er det “sikkerhedskopier er en stor hindring for enhver ransomware -operation, da de giver offeret mulighed for at genoptage forretningen ved at udføre datagendannelse i stedet for at betale løsesum til de kriminelle.” Så, det er ikke overraskende, at en ransomware -gruppe som Conti specifikt ville målrette backup -løsninger for at sikre løsepenge. Endvidere, Conti -gruppen har været “især metodisk til at udvikle og implementere teknikker til fjernelse af backup.”
Hvordan fungerer denne taktik? Ransomware-operatørerne bruger deres netværksindtrængere eller pentestere for at sikre adgang til lokale værktøjer og cloud-backupværktøjer. I dette særlige tilfælde, Conti er efter Veeam privilegerede brugere, med det formål at yderligere afpresse deres ofre og ikke efterlade dem nogen måde at gendanne deres data.
Er der en måde at reducere risikoen for at ødelægge sikkerhedskopier?
“Vedligeholdelse af udviklede protokoller for adgangsrettighedshierarki, netværkssikkerhed, og adgangskodehygiejne, såvel som systemisk netværksovervågning, der sigter mod at få øje på unormal netværksadfærd, kan reducere chancerne for, at Conti med succes fjerner sikkerhedskopier, betydeligt,” rapporten bemærkede. forskerne gav også en liste med sikre backup -løsninger og afbødninger til at hjælpe ofre med at omgå løsesumbetalinger.
Mere om Conti Ransomware
Conti er en russisk-talende trusselaktør på højt niveau med speciale i dobbelt afpresning, hvor datakryptering og dataeksfiltration sker samtidigt.
Relaterede: Triple afpresning: Ny Ransomware-tendens på vej op
Tidligere analyse af Conti ransomware afslørede, at den inkluderede muligheden for at bruge alle tilgængelige CPU -tråde under udførelsen. Hovedmotoren i ransomware var blevet udarbejdet til brug 32 CPU-tråde på én gang, en evne, der ikke ofte ses med ransomware.
Milena Dimitrova
En inspireret forfatter og indholdschef, der har været hos SensorsTechForum siden projektets start. En professionel med 10+ års erfaring med at skabe engagerende indhold. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim
Følg mig: