O notório Ransomware de contas foi atualizado com uma capacidade intrigante – destruindo os backups da vítima.
O Conti ransomware procura usuários e serviços privilegiados da Veeam
De acordo com um relatório detalhado de Vitali Kremez e Yelisey Boguslavskiy da Advanced Intelligence, Conti busca usuários e serviços privilegiados da Veeam, e aproveita para acessar, exfiltrar, remover e criptografar backups para garantir que as violações de ransomware sejam impossíveis de fazer backup.
É importante ressaltar que o relatório da Inteligência Avançada é baseado em sua inteligência de violação de vítima real e resposta a incidentes, não em um ambiente simulado ou sandbox.
Uma das principais conclusões do relatório é que “os backups são um grande obstáculo para qualquer operação de ransomware, pois permitem que a vítima retome os negócios executando a recuperação de dados em vez de pagar o resgate aos criminosos.” assim, não é surpreendente que um grupo de ransomware como o Conti visasse especificamente soluções de backup para garantir o pagamento do resgate. além disso, O grupo Conti foi “particularmente metódico no desenvolvimento e implementação de técnicas de remoção de backup.”
Como essa tática funciona? Os operadores de ransomware usam seus intrusos ou pentesters de rede para garantir o acesso a ferramentas de backup no local e na nuvem. Neste caso particular, Conti está atrás de usuários privilegiados da Veeam, com o objetivo de chantagear ainda mais suas vítimas e deixá-los sem nenhuma maneira de recuperar seus dados.
Existe uma maneira de reduzir o risco de destruição de backups?
“Manter protocolos desenvolvidos de hierarquia de direitos de acesso, segurança de rede, e higiene de senha, bem como o monitoramento de rede sistêmica com o objetivo de detectar um comportamento anormal da rede pode reduzir significativamente as chances de Conti remover backups com sucesso,” o relatório observou. Os pesquisadores também forneceu uma lista com soluções de backup seguras e mitigações para ajudar as vítimas a contornar os pagamentos de resgate.
Mais sobre Conti Ransomware
Conti é um agente de ameaça de ransomware de alto nível que fala russo, especializado em operações de extorsão dupla, em que a criptografia de dados e a exfiltração de dados acontecem simultaneamente.
relacionado: Extorsão Tripla: Nova tendência de ransomware em ascensão
Uma análise anterior do ransomware Conti revelou que incluía a capacidade de usar todos os threads de CPU disponíveis durante sua execução. O motor principal do ransomware foi compilado para usar 32 Threads da CPU de uma só vez, uma habilidade que não é comumente vista com ransomware.
Milena Dimitrova
Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim
Me siga: