Le fameux Comptes ransomware a été mis à jour avec une capacité intrigante – détruire les sauvegardes de la victime.
Conti ransomware chasse les utilisateurs et services privilégiés de Veeam
Selon un rapport détaillé de Vitali Kremez et Yelisey Boguslavskiy d'Advanced Intelligence, Conti traque les utilisateurs et services privilégiés de Veeam, et des leviers pour accéder, exfiltrate, supprimer et chiffrer les sauvegardes pour garantir que les violations de ransomware ne peuvent pas être sauvegardées.
Il est à noter que le rapport d'Advanced Intelligence est basé sur leurs informations réelles sur les violations des victimes et leur réponse aux incidents., pas sur un environnement simulé ou bac à sable.
L'une des principales conclusions du rapport est que “les sauvegardes sont un obstacle majeur pour toute opération de ransomware car elles permettent à la victime de reprendre ses activités en effectuant une récupération de données au lieu de payer une rançon aux criminels.” Si, il n'est pas surprenant qu'un groupe de ransomware comme Conti cible spécifiquement des solutions de sauvegarde pour assurer le paiement des rançons. En outre, Le groupe Conti a été “particulièrement méthodique dans le développement et la mise en œuvre des techniques de suppression des sauvegardes.”
Comment fonctionne cette tactique? Les opérateurs de ransomware utilisent leurs intrus de réseau ou pentesters pour garantir l'accès aux outils de sauvegarde sur site et dans le cloud. Dans ce cas particulier, Conti recherche les utilisateurs privilégiés de Veeam, visant à faire chanter davantage leurs victimes et à ne leur laisser aucun moyen de récupérer leurs données.
Existe-t-il un moyen d'atténuer le risque de destruction des sauvegardes?
“Maintenir les protocoles développés de la hiérarchie des droits d'accès, sécurité Internet, et hygiène des mots de passe, ainsi que la surveillance systémique du réseau visant à détecter les comportements anormaux du réseau peuvent réduire considérablement les chances que Conti supprime avec succès les sauvegardes,” le rapport note. Les chercheurs a également fourni une liste avec des solutions de sauvegarde sécurisées et des mesures d'atténuation pour aider les victimes à contourner les paiements de rançon.
En savoir plus sur Conti Ransomware
Conti est un acteur de haut niveau russophone sur les menaces de ransomware spécialisé dans les opérations de double extorsion où le cryptage et l'exfiltration des données se produisent simultanément..
en relation: Triple extorsion: Nouvelle tendance des ransomwares à la hausse
Une analyse précédente du ransomware Conti a révélé qu'il incluait la possibilité d'utiliser tous les threads CPU disponibles pendant son exécution. Le moteur principal du ransomware avait été compilé pour utiliser 32 Threads CPU à la fois, une capacité qui n'est pas souvent vue avec les ransomwares.
Milena Dimitrova
Un écrivain et gestionnaire de contenu inspiré qui travaille avec SensorsTechForum depuis le début du projet. Un professionnel avec 10+ années d'expérience dans la création de contenu engageant. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim
Suivez-moi: