de beruchte Accounts-ransomware is bijgewerkt met een intrigerende mogelijkheid – het vernietigen van de back-ups van het slachtoffer.
Conti ransomware jaagt op geprivilegieerde gebruikers en services van Veeam
Volgens een gedetailleerd rapport van Vitali Kremez en Yelisey Boguslavskiy van Advanced Intelligence, Conti jaagt op geprivilegieerde Veeam-gebruikers en -services, en hefbomen om toegang te krijgen, exfiltreren, verwijder en versleutel back-ups om ervoor te zorgen dat ransomware-inbreuken niet kunnen worden geback-upt.
Het is opmerkelijk dat het rapport van de Advanced Intelligence is gebaseerd op hun feitelijke informatie over inbreuken op slachtoffers en de reactie op incidenten, niet in een gesimuleerde of sandbox-omgeving.
Een van de belangrijkste conclusies van het rapport is dat: “back-ups vormen een groot obstakel voor elke ransomware-operatie, omdat ze het slachtoffer in staat stellen om zijn zaken te hervatten door gegevensherstel uit te voeren in plaats van losgeld te betalen aan de criminelen.” Dus, het is niet verwonderlijk dat een ransomware-groep zoals Conti zich specifiek richt op back-upoplossingen om losgeld te betalen. Bovendien, Conti groep is geweest “bijzonder methodisch in het ontwikkelen en implementeren van technieken voor het verwijderen van back-ups.”
Hoe werkt deze tactiek?? De ransomware-operators gebruiken hun netwerkindringers of pentesters om toegang te krijgen tot on-premise en cloudback-uptools. In dit geval, Conti zit achter Veeam-geprivilegieerde gebruikers aan, met als doel hun slachtoffers verder te chanteren en hen geen manier te geven om hun gegevens te herstellen.
Is er een manier om het risico van het vernietigen van back-ups te verkleinen??
“Onderhouden van ontwikkelde protocollen van de hiërarchie van toegangsrechten, netwerk veiligheid, en wachtwoordhygiëne, evenals systemische netwerkmonitoring gericht op het opsporen van abnormaal netwerkgedrag kan de kans aanzienlijk verkleinen dat Conti met succes back-ups verwijdert,” het verslag wordt opgemerkt. De onderzoekers gaf ook een lijst met veilige back-upoplossingen en mitigaties om slachtoffers te helpen losgeldbetalingen te omzeilen.
Meer over Conti Ransomware
Conti is een Russisch sprekende ransomware-bedreigingsacteur die gespecialiseerd is in dubbele afpersingsoperaties waarbij gegevensversleuteling en gegevensexfiltratie gelijktijdig plaatsvinden.
Verwant: Drievoudige afpersing: Nieuwe Ransomware-trend in opkomst
Eerdere analyse van de Conti-ransomware onthulde dat het inbegrepen was de mogelijkheid om alle beschikbare CPU-threads te gebruiken tijdens de uitvoering ervan. De hoofdmotor van de ransomware was gecompileerd om te gebruiken 32 CPU-threads tegelijk, een mogelijkheid die niet vaak wordt gezien bij ransomware.