Pas op: Conti Ransomware voegt nieuwe tools toe om back-ups te wissen
Onderzoekers van het beveiligingsbedrijf Advanced Intelligence publiceerden recent een rapport over de beruchte Conti-ransomware. Het rapport richt zich op de nieuwe mogelijkheden van ransomware om systeemback-ups te vernietigen.
De Conti ransomware- bende staat bekend als een van de gevaarlijkste cybercriminele organisaties. Het onderzoeksteam van Advanced Intelligence noemt de bende "meedogenloos" in het rapport en benadrukt het feit dat de Conti-bende in het verleden verschillende entiteiten heeft aangevallen waar de gevolgen van de aanvallen mogelijk fataal hadden kunnen zijn. Hieronder vallen diverse medische en zorginstellingen en organisaties, waaronder ziekenhuizen en medische alarmcentrales.
Het rapport richt zijn aandacht op de manier waarop de Conti-bende ook haar leden rekruteert. Een van de meest gewilde vaardigheden als het gaat om het goedkeuren van filialen volgens het 'ransomware-as-a-service'-model van de bende, is de mogelijkheid om systeemback-ups snel en efficiënt te wissen.
Natuurlijk is het hebben van geen back-ups en het niet kunnen herstellen van je met ransomware geïnfecteerde netwerk de grootste motivator om het losgeld daadwerkelijk te betalen. Dit is de reden waarom Conti zo gefocust is op het vinden van partners die goed zijn in het vernietigen van back-ups - dit leidt tot een grotere kans op betaling na de aanval.
De Conti-bende lijkt vooral geïnteresseerd te zijn in het vernietigen van back-upgegevens die zijn gemaakt en opgeslagen met toepassingen van een gegevensbeveiligingsbedrijf genaamd Veeam.
Hoewel de aanvalsvector en de inzet van tools op een deel van de Conti-bende een vrij standaardprocedure is, verkrijgen Conti's hackers op een gegeven moment een geprivilegieerde back-upgebruikersaccount, waarna er niets meer kan worden gedaan om het wissen van de back-up te voorkomen.
Veeam gaf een formele verklaring af in reactie op het rapport en verklaarde dat er echt niets is dat het bedrijf of de software kan doen zodra de hackers toegang krijgen tot het domeinbeheerdersaccount. Het bedrijf adviseerde zijn klanten verder om de back-upsoftware op een apart domein uit te voeren, zodat dit soort situaties waarin het compromitteren van het primaire domein ook leidt tot het wissen van back-ups, kan worden voorkomen.
De Conti-bende staat ook bekend om het gebruik van dubbele afpersingstactieken - iets dat een toenemend aantal ransomware-actoren heeft opgepikt. Dit omvat zowel het versleutelen van het netwerk van het slachtoffer als het dreigen met het lekken van gevoelige informatie die tijdens de aanval is geëxfiltreerd.