Conti Ransomware chce usunąć kopie zapasowe ofiar
Firma ochroniarska Advanced Intelligence opublikowała niedawno raport skupiający się na najnowszych wydarzeniach związanych z gangiem ransomware Conti. Badacze podkreślili nowy nacisk gangu na niszczenie kopii zapasowych jako sposób na wywarcie dodatkowej presji na ofiarę i zmotywowanie jej do zapłacenia okupu.
Conti to jeden z najbardziej niesławnych gangów ransomware, znany z tego, że jest całkowicie pozbawiony skrupułów, jeśli chodzi o wybór ofiar. Podczas gdy niektóre grupy, takie jak DarkSide, przynajmniej próbowałyby zagrać w Robin Hooda i próbowały usprawiedliwić swoje przestępcze działania, chwaląc się tym, że nigdy nie atakują instytucji edukacyjnych i opieki zdrowotnej, Conti z drugiej strony przeprowadził ataki na wiele szpitali i innych jednostek opieki zdrowotnej . Ten rodzaj ataku nigdy nie dotyczy tylko strat finansowych, ponieważ zawsze istnieje groźba utraty życia ludzkiego.
Według naukowców Conti poszukuje teraz partnerów, którzy są szczególnie dobrzy w usuwaniu kopii zapasowych ofiar. Gang przestępczy atakuje w szczególności jedną aplikację do tworzenia kopii zapasowych i zarządzania nimi, wyprodukowaną przez firmę Veeam.
Conti używa wielu narzędzi podczas infiltracji sieci, które stały się powszechne w krajobrazie ransomware. Ataki obejmują sygnały nawigacyjne Cobalt Strike, a także inne legalne narzędzia używane do zdobycia przyczółka w zaatakowanej sieci i osiągnięcia trwałości.
Najważniejsze jest to, że gdy operatorzy Conti dostaną w swoje ręce uprzywilejowane konto użytkownika kopii zapasowych, mogą zrobić z kopiami zapasowymi wszystko, co im się podoba. Raport opublikowany przez Advanced Intelligence wywołał oficjalne oświadczenie Veeam – firmy, której narzędzia do backupu Conti stara się obejść.
Veeam stwierdził, że jeśli operatorom oprogramowania ransomware uda się zdobyć konto administratora domeny uprzywilejowanej, nic na świecie nie powstrzyma ich przed wyczyszczeniem kopii zapasowych ofiary. Żadna ilość poprawek ani nowych funkcji nie może tego powstrzymać, dlatego firma Veeam zaleca wszystkim swoim klientom uruchamianie aplikacji do tworzenia kopii zapasowych w oddzielnej domenie, tak aby naruszenie domeny podstawowej nie oznaczało również katastrofy dla kopii zapasowych.
Conti był gangiem zajmującym się oprogramowaniem ransomware odpowiedzialnym za ataki na irlandzką sieć służby zdrowia, które spowodowały miliony szkód i prawie na wiele dni sparaliżowały cyfrowe systemy opieki zdrowotnej w tym kraju.
