Программа-вымогатель Conti пытается стереть резервные копии жертв

Компания безопасности Advanced Intelligence опубликовала недавний отчет, посвященный новейшим разработкам, связанным с бандой программ-вымогателей Conti. Исследователи подчеркнули новый акцент банды на уничтожении резервных копий как способ оказать дополнительное давление на жертву и побудить ее заплатить выкуп.

Conti - одна из самых печально известных банд вымогателей, известная своей беспринципностью в выборе жертв. В то время как некоторые группы, такие как DarkSide, по крайней мере попытались бы сыграть в Робин Гуда и попытаться оправдать свои преступные действия, хвастаясь тем, что они никогда не нападают на образовательные и медицинские учреждения, Conti, с другой стороны, отразил атаки на ряд больниц и других медицинских учреждений. . Подобные атаки никогда не касаются только денежного ущерба, поскольку всегда существует угроза человеческих жизней.

По словам исследователей, Conti сейчас специально ищет партнеров, которые особенно хорошо умеют удалять резервные копии жертв. Преступная группировка специально нацелена на одно приложение для создания резервных копий и управления ими, разработанное программной компанией Veeam.

Conti использует ряд инструментов для проникновения в сети, которые стали обычным явлением для программ-вымогателей. В атаках используются маяки Cobalt Strike, а также другие законные инструменты, используемые для закрепления в скомпрометированной сети и достижения устойчивости.

Самое интересное в том, что как только операторы Conti получают привилегированную учетную запись пользователя резервного копирования, они могут делать с резервными копиями все, что им заблагорассудится. В отчете, опубликованном Advanced Intelligence, было сделано официальное заявление Veeam - компании, средства резервного копирования которой Conti пытается обойти.

Veeam заявила, что если операторам программ-вымогателей удастся завладеть привилегированной учетной записью администратора домена, ничто в мире не сможет помешать им стереть резервные копии жертвы. Никакие исправления или новые функции не могут остановить это, поэтому вместо этого Veeam рекомендует всем своим клиентам запускать приложение резервного копирования в отдельном домене, чтобы компрометация основного домена не обрекала себя на гибель и для резервного копирования.

Конти был бандой вымогателей, стоявшей за атаками на сеть служб здравоохранения Ирландии, которые нанесли миллионы убытков и почти нанесли ущерб цифровым системам здравоохранения страны на несколько дней подряд.