Uwaga: Conti Ransomware dodaje nowe narzędzia do czyszczenia kopii zapasowych

Badacze z firmy zajmującej się bezpieczeństwem Advanced Intelligence opublikowali niedawny raport na temat notorycznego oprogramowania ransomware Conti. Raport skupia się na nowych możliwościach ransomware do niszczenia kopii zapasowych systemu.

Gang Conti ransomware jest znany z tego, że jest jedną z najniebezpieczniejszych organizacji cyberprzestępczych. Zespół badawczy Advanced Intelligence nazywa gang „bezwzględnym" w raporcie i podkreśla fakt, że w przeszłości gang Conti zaatakował kilka podmiotów, których konsekwencje mogły być potencjalnie śmiertelne. Obejmuje to różne instytucje i organizacje medyczne i zdrowotne, w tym szpitale i ośrodki ratownictwa medycznego.

Raport skupia się również na sposobie, w jaki gang Conti rekrutuje swoich członków. Jedną z najbardziej poszukiwanych umiejętności, jeśli chodzi o zatwierdzanie partnerów w ramach modelu „oprogramowania ransomware jako usługi", jest możliwość szybkiego i skutecznego usuwania kopii zapasowych systemu.

Oczywiście brak kopii zapasowych i niemożność przywrócenia działającej sieci zainfekowanej oprogramowaniem ransomware jest największym motywatorem do zapłacenia okupu. Dlatego Conti tak bardzo koncentruje się na znalezieniu partnerów, którzy są dobrzy w niszczeniu kopii zapasowych - prowadzi to do większych szans na otrzymanie płatności po ataku.

Gang Conti wydaje się być szczególnie zainteresowany niszczeniem danych kopii zapasowych tworzonych i przechowywanych za pomocą aplikacji jednej z firm zajmujących się bezpieczeństwem danych o nazwie Veeam.

Podczas gdy wektor ataku i wdrożenie narzędzi przez część gangu Conti to dość standardowa procedura, w pewnym momencie hakerzy Conti uzyskują uprzywilejowane konto użytkownika kopii zapasowej, w którym to momencie nie można nic zrobić, aby zapobiec wymazaniu kopii zapasowej.

Firma Veeam w odpowiedzi na zgłoszenie wydała formalne oświadczenie, w którym stwierdziła, że tak naprawdę firma lub oprogramowanie nie mogą nic zrobić, gdy hakerzy uzyskają dostęp do konta administratora domeny. Firma doradzała ponadto swoim klientom uruchamianie oprogramowania do tworzenia kopii zapasowych w oddzielnej domenie, dzięki czemu można uniknąć tego rodzaju sytuacji, w których naruszenie domeny podstawowej prowadzi również do wymazywania kopii zapasowych.

Gang Conti znany jest również z używania taktyk podwójnego wymuszenia – czegoś, co zauważyła coraz większa liczba podmiotów zajmujących się oprogramowaniem ransomware. Wiąże się to zarówno z szyfrowaniem sieci ofiary, jak i groźbą wycieku poufnych informacji eksfiltrowanych podczas ataku.