Осторожно: Conti Ransomware добавляет новые инструменты для очистки резервных копий
Исследователи из компании Advanced Intelligence, занимающейся безопасностью, опубликовали недавний отчет о печально известной программе-вымогателе Conti. В отчете рассматриваются новые возможности программ-вымогателей по уничтожению резервных копий системы.
Банда программ-вымогателей Conti известна как одна из самых опасных киберпреступных организаций. Исследовательская группа Advanced Intelligence называет банду «безжалостной» в отчете и подчеркивает тот факт, что в прошлом банда Конти атаковала несколько организаций, последствия которых могли быть смертельными. Сюда входят различные медицинские учреждения и организации, в том числе больницы и центры неотложной медицинской помощи .
В отчете акцентируется внимание на том, как банда Конти вербует своих членов. Один из самых востребованных навыков, когда дело доходит до утверждения аффилированных лиц в рамках модели «программа-вымогатель как услуга», - это способность быстро и эффективно стереть резервные копии системы.
Естественно, отсутствие резервных копий и невозможность восстановить работоспособность сети, зараженной вымогателем, является самым большим стимулом для уплаты выкупа. Вот почему Conti так сосредоточен на поиске аффилированных лиц, которые умеют уничтожать резервные копии - это приводит к более высоким шансам на получение оплаты после атаки.
Банда Конти, похоже, особенно заинтересована в уничтожении данных резервных копий, созданных и сохраненных с помощью приложений от одной компании по обеспечению безопасности данных под названием Veeam.
Хотя вектор атаки и развертывание инструментов со стороны банды Конти - довольно стандартная процедура, в какой-то момент хакеры Конти получают привилегированную резервную копию учетной записи пользователя, и в этот момент нет ничего, что действительно можно было бы сделать, чтобы предотвратить очистку резервной копии.
Veeam опубликовала официальное заявление в ответ на отчет и заявила, что на самом деле компания или программное обеспечение ничего не могут сделать после того, как хакеры получат доступ к учетной записи администратора домена. Компания также посоветовала своим клиентам запускать программное обеспечение резервного копирования в отдельном домене, чтобы избежать подобных ситуаций, когда компрометация основного домена приводит к очистке резервных копий.
Банда Конти также известна тем, что использует тактику двойного вымогательства - то, что используют все большее число участников программ-вымогателей. Это включает в себя как шифрование сети жертвы, так и угрозу утечки конфиденциальной информации, извлеченной во время атаки.