Der berüchtigte Konten-Ransomware wurde mit einer faszinierenden Funktion aktualisiert – die Backups des Opfers zerstören.
Conti-Ransomware jagt nach privilegierten Veeam-Benutzern und -Diensten
Laut einem ausführlichen Bericht von Vitali Kremez und Yelisey Boguslavskiy von Advanced Intelligence, Conti sucht nach privilegierten Veeam-Benutzern und -Diensten, und Hebel für den Zugriff, exfiltrieren, Entfernen und verschlüsseln Sie Backups, um sicherzustellen, dass Ransomware-Verstöße nicht gesichert werden können.
Es ist bemerkenswert, dass der Bericht von Advanced Intelligence auf den tatsächlichen Informationen zu Opferverletzungen und der Reaktion auf Vorfälle basiert, nicht in einer simulierten oder Sandbox-Umgebung.
Eine der wichtigsten Schlussfolgerungen des Berichts ist, dass “Backups sind ein Haupthindernis für jede Ransomware-Operation, da sie es dem Opfer ermöglichen, seine Geschäfte wieder aufzunehmen, indem es eine Datenwiederherstellung durchführt, anstatt den Kriminellen Lösegeld zu zahlen.” So, Es ist nicht verwunderlich, dass eine Ransomware-Gruppe wie Conti gezielt auf Backup-Lösungen abzielt, um Lösegeldzahlungen zu gewährleisten. Weiter, Conti Gruppe war “besonders methodisch bei der Entwicklung und Implementierung von Backup-Entfernungstechniken.”
Wie funktioniert diese Taktik? Die Ransomware-Betreiber nutzen ihre Netzwerk-Eindringlinge oder Pentester, um den Zugriff auf On-Premise- und Cloud-Backup-Tools sicherzustellen. In diesem besonderen Fall, Conti ist hinter privilegierten Veeam-Benutzern her, mit dem Ziel, ihre Opfer weiter zu erpressen und ihnen keine Möglichkeit zu geben, ihre Daten wiederherzustellen.
Gibt es eine Möglichkeit, das Risiko der Zerstörung von Backups zu mindern??
“Pflege entwickelter Protokolle der Zugriffsrechtehierarchie, Netzwerksicherheit, und Passworthygiene, sowie eine systemische Netzwerküberwachung, die darauf abzielt, abnormales Netzwerkverhalten zu erkennen, kann die Wahrscheinlichkeit, dass Conti Backups erfolgreich entfernt, erheblich reduzieren,” Der Bericht stellte fest. Die Forscher habe auch eine liste bereitgestellt mit sicheren Backup-Lösungen und Schutzmaßnahmen, um Opfern zu helfen, Lösegeldzahlungen zu umgehen.
Mehr über Conti Ransomware
Conti ist ein hochrangiger russischsprachiger Ransomware-Bedrohungsakteur, der sich auf doppelte Erpressungsoperationen spezialisiert hat, bei denen Datenverschlüsselung und Datenexfiltration gleichzeitig erfolgen.
verbunden: Dreifache Erpressung: Neuer Ransomware-Trend auf dem Vormarsch
Frühere Analysen der Conti-Ransomware ergaben, dass sie enthalten die Möglichkeit, alle verfügbaren CPU-Threads während der Ausführung zu verwenden. Die Hauptmaschine der Ransomware wurde kompiliert, um sie zu verwenden 32 CPU-Threads sofort, Eine Fähigkeit, die bei Ransomware nicht häufig vorkommt.