Akta dig: Conti Ransomware lägger till nya verktyg för att torka säkerhetskopior

Forskare med säkerhetsföretaget Advanced Intelligence publicerade en ny rapport om den ökända Conti -ransomware. Rapporten fokuserar på ransomware: s nya förmågor att förstöra systembackups.

Conti -ransomware -gänget är ökänt för att vara en av de farligaste cyberbrottsliga organisationerna. Forskargruppen Advanced Intelligence kallar gänget "hänsynslöst" i rapporten och belyser det faktum att Conti -gänget tidigare attackerade flera enheter där konsekvenserna av attackerna kunde ha varit potentiellt dödliga. Detta inkluderar olika medicinska och vårdinstitutioner och organisationer, inklusive sjukhus och medicinska akutcentraler.

Rapporten fokuserar sin uppmärksamhet på hur Conti -gänget också rekryterar sina medlemmar. En av de mest eftertraktade färdigheterna när det gäller att godkänna affiliates enligt gängets "ransomware-as-a-service" -modell är möjligheten att torka systembackuper snabbt och effektivt.

Naturligtvis är det den största motivatorn för att faktiskt betala lösen, utan att ha några säkerhetskopior och inte kunna återställa ditt ransomware-infekterade nätverk till fungerande skick. Det är därför Conti är så fokuserad på att hitta affiliates som är bra på att förstöra säkerhetskopior - detta leder till högre odds för att få betalning efter attacken.

Conti -gänget verkar vara särskilt intresserat av att förstöra säkerhetskopierade data som skapas och lagras med applikationer från ett datasäkerhetsföretag som heter Veeam.

Medan attackvektorn och utplacering av verktyg på en del av Conti -gänget är en ganska standardprocedur, får Contis hackare vid ett tillfälle ett privilegierat backup -användarkonto, då finns det inget som verkligen kan göras för att förhindra att säkerhetskopieringen raderas.

Veeam utfärdade ett formellt uttalande som svar på rapporten och uppgav att det verkligen inte är något som företaget eller programvaran kan göra när hackarna har tillgång till domänadministratörskontot. Företaget rådde vidare sina kunder att köra backup -programvaran på en separat domän, så den här typen av situationer där kompromissen med den primära domänen leder till backup -servetter kan också undvikas.

Conti -gänget är också känt för att använda dubbel utpressningstaktik - något som ett ökande antal ransomware -aktörer har upptäckt. Detta innebär både att kryptera offernätverket och hota att läcka ut känslig information som exfiltreras under attacken.