Pas på: Conti Ransomware tilføjer nye værktøjer til at slette sikkerhedskopier

Forskere med sikkerhedsfirmaet Advanced Intelligence offentliggjorde en nylig rapport om den berygtede Conti ransomware. Rapporten fokuserer på ransomware's nye evner til at ødelægge systembackups.

Conti ransomware -banden er berygtet for at være en af de farligste cyberkriminelle organisationer. Forskningsteamet Advanced Intelligence kalder banden "hensynsløs" i rapporten og fremhæver, at Conti -banden tidligere angreb flere enheder, hvor konsekvenserne af angrebene kunne have været potentielt dødelige. Dette omfatter forskellige medicinske og sundhedsmæssige institutioner og organisationer, herunder hospitaler og medicinske akutcentre.

Rapporten fokuserer sin opmærksomhed på den måde, Conti -banden også rekrutterer sine medlemmer på. En af de mest efterspurgte færdigheder, når det kommer til godkendelse af tilknyttede selskaber under bandens 'ransomware-as-a-service'-model, er evnen til at slette systembackups hurtigt og effektivt.

Naturligvis er det uden at have sikkerhedskopier og ikke at kunne gendanne dit ransomware-inficerede netværk i funktionsdygtig stand den største motivator for rent faktisk at betale løsesummen. Det er derfor, Conti er så fokuseret på at finde datterselskaber, der er gode til at ødelægge sikkerhedskopier - dette fører til højere odds for at modtage betaling efter angrebet.

Conti -banden ser ud til at være særligt interesseret i at ødelægge backupdata, der er oprettet og gemt ved hjælp af applikationer fra et datasikkerhedsfirma ved navn Veeam.

Selvom angrebsvektoren og implementeringen af værktøjer på en del af Conti -banden er en temmelig standardprocedure, opnår Contis hackere på et tidspunkt en privilegeret backup -brugerkonto, på hvilket tidspunkt der ikke er noget, der virkelig kan gøres for at forhindre backup -sletning.

Veeam udsendte en formel erklæring som svar på rapporten og erklærede, at der virkelig ikke er noget, virksomheden eller softwaren kan gøre, når hackerne får adgang til domæneadministratorkontoen. Virksomheden rådede endvidere sine kunder til at køre backupsoftwaren på et separat domæne, så denne form for situation, hvor kompromiset med det primære domæne også fører til backup -servietter, kan også undgås.

Conti -banden er også kendt for at bruge dobbelt afpresningstaktik - noget som et stigende antal ransomware -aktører har taget til sig. Dette indebærer både kryptering af offerets netværk og truer med at lække følsomme oplysninger, der er eksfiltreret under angrebet.