il famigerato Conti ransomware è stato aggiornato con una capacità intrigante – distruggere i backup della vittima.
Il ransomware Conti va a caccia di utenti e servizi con privilegi Veeam
Secondo un rapporto dettagliato di Vitali Kremez e Yelisey Boguslavskiy di Advanced Intelligence, Conti va a caccia di utenti e servizi privilegiati Veeam, e sfrutta per accedere, esfiltrare, rimuovere e crittografare i backup per garantire che le violazioni del ransomware non siano eseguibili nel backup.
È interessante notare che il rapporto dell'Advanced Intelligence si basa sulla loro effettiva intelligence sulla violazione delle vittime e sulla risposta agli incidenti, non in un ambiente simulato o sandbox.
Una delle conclusioni chiave del rapporto è che “i backup sono un grosso ostacolo per qualsiasi operazione ransomware in quanto consentono alla vittima di riprendere l'attività eseguendo il ripristino dei dati invece di pagare un riscatto ai criminali.” Così, non sorprende che un gruppo di ransomware come Conti prenda di mira specificamente le soluzioni di backup per garantire il pagamento del riscatto. Inoltre, Il gruppo Conti è stato “particolarmente metodico nello sviluppo e nell'implementazione di tecniche di rimozione dei backup.”
Come funziona questa tattica?? Gli operatori di ransomware utilizzano i loro intrusi di rete o pentester per garantire l'accesso a strumenti di backup on-premise e cloud. In questo caso particolare, Conti cerca gli utenti privilegiati di Veeam, con l'obiettivo di ricattare ulteriormente le loro vittime e lasciarle senza alcun modo per recuperare i loro dati.
C'è un modo per mitigare il rischio di distruggere i backup??
“Mantenimento dei protocolli sviluppati della gerarchia dei diritti di accesso, sicurezza della rete, e igiene delle password, così come il monitoraggio sistemico della rete volto a individuare comportamenti anomali della rete può ridurre significativamente le possibilità che Conti rimuova con successo i backup,” il rapporto osserva. I ricercatori fornito anche un elenco con soluzioni di backup sicure e mitigazioni per aiutare le vittime a eludere i pagamenti del riscatto.
Maggiori informazioni sul ransomware Conti
Conti è un attore di minacce ransomware di alto livello di lingua russa specializzato in operazioni di doppia estorsione in cui la crittografia dei dati e l'esfiltrazione dei dati avvengono contemporaneamente.
Correlata: Tripla estorsione: Nuova tendenza ransomware in aumento
L'analisi precedente del ransomware Conti ha rivelato che includeva la possibilità di utilizzare tutti i thread della CPU disponibili durante la sua esecuzione. Il motore principale del ransomware era stato compilato per l'uso 32 Discussioni CPU in una volta, un'abilità che non si vede comunemente con il ransomware.