Conti Ransomware ser ut til å tørke offerets sikkerhetskopier
Sikkerhetsselskapet Advanced Intelligence publiserte en nylig rapport med fokus på den nyeste utviklingen rundt Conti ransomware -gjengen. Forskerne fremhevet gjengens nye fokus på ødeleggelse av sikkerhetskopier som en måte å utøve ekstra press på offeret og motivere dem til å betale løsepenger.
Conti er en av de mest beryktede ransomware -gjengene, kjent for å være helt skrupelløs når det gjelder valg av ofre. Mens noen grupper som DarkSide i det minste ville prøve å spille Robin Hood og forsøke å rettferdiggjøre sine kriminelle handlinger ved å skryte av hvordan de aldri angriper utdannings- og helseinstitusjoner, har Conti derimot trukket angrep på en rekke sykehus og andre helseinstanser. . Denne typen angrep handler aldri bare om økonomisk skade, ettersom det alltid er fare for tap av menneskeliv.
I følge forskerne leter Conti nå spesielt etter tilknyttede selskaper som er spesielt gode til å utslette sikkerhetskopier av offer. Den kriminelle gjengen er spesifikt rettet mot én sikkerhetskopierings- og administrasjonsapplikasjon, produsert av programvareselskapet Veeam.
Conti bruker en rekke verktøy når han infiltrerer nettverk som har blitt vanlige i ransomware -landskapet. Angrep involverer Cobalt Strike -beacons, så vel som andre legitime verktøy som brukes for å få fotfeste på det kompromitterte nettverket og oppnå utholdenhet.
Kickeren er at når Conti -operatører får tak i en privilegert brukerkonto, kan de gjøre alt de vil med sikkerhetskopiene. Rapporten publisert av Advanced Intelligence fremkalte en offisiell uttalelse fra Veeam - selskapet hvis sikkerhetskopieringsverktøy Conti søker å omgå.
Veeam uttalte at hvis ransomware -operatørene klarer å få tak i en privilegert domeneadministratorkonto, er det ingenting i verden som kan stoppe dem fra å tørke offerets sikkerhetskopier. Ingen mengder oppdateringer eller nye funksjoner kan stoppe dette, så Veeam anbefaler i stedet at alle kundene kjører sikkerhetskopieringsprogrammet fra et eget domene, slik at kompromittering av det primære domenet ikke også betyr en viss undergang for sikkerhetskopiene.
Conti var ransomware -gjengen bak angrepene på Irlands helsetjenestenettverk som forårsaket millioner av skader og nesten forringet landets digitale helsevesen i flere dager.