Conti Ransomware ser ud til at slette ofre -sikkerhedskopier

Sikkerhedsfirmaet Advanced Intelligence offentliggjorde en nylig rapport med fokus på den nyeste udvikling omkring Conti ransomware banden. Forskerne fremhævede bandets nye fokus på ødelæggelse af backup som en måde at udøve ekstra pres på offeret og motivere dem til at betale løsepenge.

Conti er en af de mest berygtede ransomware -bander, kendt for at være fuldstændig skrupelløs, når det kommer til at vælge sine ofre. Mens nogle grupper som DarkSide i det mindste ville prøve at spille Robin Hood og forsøge at retfærdiggøre deres kriminelle handlinger ved at prale af, hvordan de aldrig angriber uddannelses- og sundhedsinstitutioner, har Conti på den anden side trukket angreb på en række hospitaler og andre sundhedsenheder til ophør . Denne form for angreb handler aldrig kun om den økonomiske skade, da der altid er en trussel om tab af menneskeliv.

Ifølge forskerne leder Conti nu specifikt efter søsterselskaber, der er særligt gode til at udslette backup af ofre. Den kriminelle bande er specifikt målrettet mod en backup -oprettelses- og administrationsapplikation, produceret af softwarefirmaet Veeam.

Conti bruger en række værktøjer til infiltrering af netværk, der er blevet almindelige i ransomware -landskabet. Angreb involverer Cobalt Strike -beacons samt andre legitime værktøjer, der bruges til at få fodfæste på det kompromitterede netværk og opnå vedholdenhed.

Kickeren er, at når Conti -operatører får fat i en privilegeret backup -brugerkonto, kan de gøre alt, hvad de vil med sikkerhedskopierne. Rapporten udgivet af Advanced Intelligence fremkaldte en officiel erklæring fra Veeam - virksomheden, hvis backupværktøjer Conti søger at omgå.

Veeam udtalte, at hvis ransomware -operatørerne formår at få fat i en privilegeret domæneadministratorkonto, er der intet i verden, der kan forhindre dem i at slette offerets sikkerhedskopier. Ingen mængde patching eller nye funktioner kan stoppe dette, så i stedet anbefaler Veeam, at alle dets kunder kører backup -applikationen fra et separat domæne, så kompromittering af det primære domæne ikke også stammer til en bestemt undergang for sikkerhedskopierne.

Conti var ransomware -banden bag angrebene på Irlands sundhedsnetværk, der forårsagede millioner af skader og næsten ødelagde landets digitale sundhedssystemer i dagevis.