Осторожно: Conti Ransomware добавляет новые инструменты для очистки резервных копий

Исследователи из компании Advanced Intelligence, занимающейся безопасностью, опубликовали недавний отчет о печально известной программе-вымогателе Conti. В отчете рассматриваются новые возможности программ-вымогателей по уничтожению резервных копий системы.

Банда программ-вымогателей Conti известна как одна из самых опасных киберпреступных организаций. Исследовательская группа Advanced Intelligence называет банду «безжалостной» в отчете и подчеркивает тот факт, что в прошлом банда Конти атаковала несколько организаций, последствия которых могли быть смертельными. Сюда входят различные медицинские учреждения и организации, в том числе больницы и центры неотложной медицинской помощи .

В отчете акцентируется внимание на том, как банда Конти вербует своих членов. Один из самых востребованных навыков, когда дело доходит до утверждения аффилированных лиц в рамках модели «программа-вымогатель как услуга», - это способность быстро и эффективно стереть резервные копии системы.

Естественно, отсутствие резервных копий и невозможность восстановить работоспособность сети, зараженной вымогателем, является самым большим стимулом для уплаты выкупа. Вот почему Conti так сосредоточен на поиске аффилированных лиц, которые умеют уничтожать резервные копии - это приводит к более высоким шансам на получение оплаты после атаки.

Банда Конти, похоже, особенно заинтересована в уничтожении данных резервных копий, созданных и сохраненных с помощью приложений от одной компании по обеспечению безопасности данных под названием Veeam.

Хотя вектор атаки и развертывание инструментов со стороны банды Конти - довольно стандартная процедура, в какой-то момент хакеры Конти получают привилегированную резервную копию учетной записи пользователя, и в этот момент нет ничего, что действительно можно было бы сделать, чтобы предотвратить очистку резервной копии.

Veeam опубликовала официальное заявление в ответ на отчет и заявила, что на самом деле компания или программное обеспечение ничего не могут сделать после того, как хакеры получат доступ к учетной записи администратора домена. Компания также посоветовала своим клиентам запускать программное обеспечение резервного копирования в отдельном домене, чтобы избежать подобных ситуаций, когда компрометация основного домена приводит к очистке резервных копий.

Банда Конти также известна тем, что использует тактику двойного вымогательства - то, что используют все большее число участников программ-вымогателей. Это включает в себя как шифрование сети жертвы, так и угрозу утечки конфиденциальной информации, извлеченной во время атаки.