Conti ransomware cerca di cancellare i backup delle vittime
La società di sicurezza Advanced Intelligence ha pubblicato un recente rapporto incentrato sugli ultimi sviluppi che circondano la banda del ransomware Conti. I ricercatori hanno evidenziato la nuova attenzione della banda sulla distruzione dei backup come un modo per esercitare ulteriore pressione sulla vittima e motivarla a pagare il riscatto.
Conti è una delle bande di ransomware più famigerate, nota per essere completamente senza scrupoli quando si tratta di scegliere le sue vittime. Mentre alcuni gruppi come DarkSide proverebbero almeno a giocare a Robin Hood e cercherebbero di giustificare le loro azioni criminali vantandosi di come non attaccano mai le istituzioni educative e sanitarie, Conti d'altra parte ha portato a termine attacchi a un certo numero di ospedali e altre entità sanitarie . Questo tipo di attacco non riguarda mai solo il danno monetario, poiché c'è sempre la minaccia della perdita di vite umane.
Secondo i ricercatori, Conti ora sta cercando specificamente affiliati particolarmente bravi a eliminare i backup delle vittime. La banda criminale sta prendendo di mira specificamente un'applicazione per la creazione e la gestione di backup, prodotta dalla società di software Veeam.
Conti utilizza una serie di strumenti quando si infiltra nelle reti che sono diventate comuni nel panorama dei ransomware. Gli attacchi coinvolgono i beacon Cobalt Strike, nonché altri strumenti legittimi utilizzati per ottenere un punto d'appoggio sulla rete compromessa e ottenere la persistenza.
Il punto forte è che una volta che gli operatori Conti mettono le mani su un account utente di backup privilegiato, possono fare tutto ciò che vogliono con i backup. Il rapporto pubblicato da Advanced Intelligence ha suscitato una dichiarazione ufficiale di Veeam, l'azienda i cui strumenti di backup Conti cerca di eludere.
Veeam ha affermato che se gli operatori di ransomware riescono a entrare in possesso di un account di amministratore di dominio privilegiato, non c'è nulla al mondo che possa impedire loro di cancellare i backup della vittima. Nessuna quantità di patch o nuove funzionalità può fermare questo, quindi Veeam consiglia invece a tutti i suoi clienti di eseguire l'applicazione di backup da un dominio separato, in modo che la compromissione del dominio primario non comporti un certo destino anche per i backup.
Conti era la banda di ransomware dietro gli attacchi alla rete di servizi sanitari irlandese che hanno causato milioni di danni e hanno quasi paralizzato i sistemi digitali sanitari del paese per giorni e giorni.
