El notorio Cuentas ransomware se ha actualizado con una capacidad intrigante – destruir las copias de seguridad de la víctima.
Conti ransomware busca usuarios y servicios privilegiados de Veeam
Según un informe detallado de Vitali Kremez y Yelisey Boguslavskiy de Advanced Intelligence, Conti busca usuarios y servicios privilegiados de Veeam, y apalanca para acceder, exfiltrar, eliminar y cifrar las copias de seguridad para garantizar que las infracciones de ransomware no se puedan respaldar.
Cabe señalar por qué el informe de la inteligencia avanzada se basa en su inteligencia real sobre la violación de la víctima y la respuesta a incidentes., no en un entorno simulado o sandbox.
Una de las conclusiones clave del informe es que “Las copias de seguridad son un obstáculo importante para cualquier operación de ransomware, ya que permiten a la víctima reanudar el negocio realizando la recuperación de datos en lugar de pagar un rescate a los delincuentes.” Así, No es sorprendente que un grupo de ransomware como Conti apunte específicamente a soluciones de respaldo para garantizar el pago del rescate.. Además, El grupo Conti ha sido “particularmente metódico en el desarrollo e implementación de técnicas de eliminación de copias de seguridad.”
¿Cómo funciona esta táctica?? Los operadores de ransomware utilizan sus intrusos de red o pentesters para garantizar el acceso a herramientas de copia de seguridad en las instalaciones y en la nube.. En este caso particular, Conti busca usuarios privilegiados de Veeam, con el objetivo de chantajear aún más a sus víctimas y dejarlas sin forma de recuperar sus datos.
¿Hay alguna forma de mitigar el riesgo de destruir las copias de seguridad??
“Mantener los protocolos desarrollados de jerarquía de derechos de acceso., Seguridad de la red, e higiene de contraseñas, así como la supervisión sistémica de la red destinada a detectar el comportamiento anormal de la red, puede reducir significativamente las posibilidades de que Conti elimine las copias de seguridad con éxito.,” el informe señaló. Los investigadores también proporcionó una lista con soluciones de respaldo seguras y mitigaciones para ayudar a las víctimas a eludir los pagos de rescate.
Más acerca de Conti Ransomware
Conti es un actor de alto nivel de ransomware de habla rusa que se especializa en operaciones de doble extorsión en las que el cifrado y la exfiltración de datos ocurren simultáneamente..
Relacionado: Triple extorsión: Nueva tendencia de ransomware en aumento
El análisis anterior del ransomware Conti reveló que incluía la capacidad de utilizar todos los subprocesos de CPU disponibles durante su ejecución. El motor principal del ransomware se había compilado para usar 32 Subprocesos de CPU a la vez, una habilidad que no se ve comúnmente con ransomware.
Milena Dimitrova
Un escritor inspirado y administrador de contenido que ha estado con SensorsTechForum desde que comenzó el proyecto.. Un profesional con 10+ años de experiencia en la creación de contenido atractivo. Centrado en la privacidad de los usuarios y el desarrollo de malware, ella cree firmemente en un mundo donde la seguridad cibernética juega un papel central. Si el sentido común no tiene sentido, ella estará allí para tomar notas. Esas notas pueden convertirse más tarde en artículos! Siga Milena @Milenyim
Sígueme: