Cuidado: O Conti Ransomware Adicionou Novas Ferramentas para Apagar Backups

Pesquisadores da empresa de segurança Advanced Intelligence publicaram um relatório recente sobre o notório Conti Ransomware. O relatório se concentra nas novas habilidades do ransomware para destruir backups do sistema.

A gangue do Conti ransomware é conhecida por ser uma das organizações cibercriminosas mais perigosas. A equipe de pesquisa de Inteligência Avançada chama a gangue de "implacável" no relatório e destaca o fato de que, no passado, a gangue Conti atacou várias entidades onde as consequências dos ataques poderiam ter sido potencialmente fatais. Isso inclui várias instituições e organizações médicas e de saúde, incluindo hospitais e centros de emergência médica.

O relatório concentra sua atenção na maneira como a gangue do Conti também recruta seus membros. Uma das habilidades mais procuradas quando se trata de aprovar afiliados no modelo 'ransomware-como-um-service' da gangue é a capacidade de apagar backups do sistema de forma rápida e eficiente.

Naturalmente, não ter backups e ser incapaz de restaurar o funcionamento da rede infectada por ransomware é o maior motivador para realmente pagar o resgate. É por isso que o Conti está tão focado em encontrar afiliados que sejam bons em destruir backups - isso aumenta as chances de receber pagamento após o ataque.

A gangue do Conti parece estar particularmente interessada em destruir dados de backup criados e armazenados usando aplicativos de uma empresa de segurança de dados chamada Veeam.

Embora o vetor de ataque e a implantação de ferramentas por parte da gangue do Conti seja um procedimento bastante padrão, em um ponto os hackers do Conti obtêm uma conta de usuário de backup privilegiada, momento em que não há nada que realmente possa ser feito para evitar a destruição do backup.

A Veeam emitiu uma declaração formal em resposta ao relatório e afirmou que não há realmente nada que a empresa ou o software possam fazer depois que os hackers obtiverem acesso à conta do administrador do domínio. A empresa ainda aconselhou seus clientes a executar o software de backup em um domínio separado, de modo que esse tipo de situação em que o comprometimento do domínio principal também leva a apagamentos de backup pode ser evitado.

A gangue do Conti também é conhecida por usar táticas de extorsão dupla - algo que um número crescente de atores de ransomware percebeu. Isso envolve criptografar a rede da vítima e ameaçar vazar informações confidenciais exfiltradas durante o ataque.