Conti Ransomware ser ut att torka offersäkerhetskopior
Säkerhetsföretaget Advanced Intelligence publicerade en ny rapport med fokus på den senaste utvecklingen kring Conti -ransomware -gänget. Forskarna framhöll gängets nya fokus på förstörelse av säkerhetskopior som ett sätt att utöva extra press på offret och motivera dem att betala lösen.
Conti är ett av de mest ökända ransomware -gängen, känt för att vara helt skrupelfri när det gäller att välja sina offer. Medan vissa grupper som DarkSide åtminstone skulle försöka spela Robin Hood och försöka rättfärdiga sina kriminella handlingar genom att skryta om hur de aldrig angriper utbildnings- och vårdinstitutioner, har Conti å andra sidan avbrutit attacker mot ett antal sjukhus och andra hälsoenheter. . Denna typ av attack handlar aldrig bara om den ekonomiska skadan, eftersom det alltid finns ett hot om förlust av människoliv.
Enligt forskarna letar Conti nu specifikt efter dotterbolag som är särskilt bra på att utplåna offersäkerhetskopior. Det kriminella gänget riktar sig specifikt till en applikation för att skapa och hantera backup, som produceras av mjukvaruföretaget Veeam.
Conti använder ett antal verktyg för att infiltrera nätverk som har blivit vanliga i ransomware -landskapet. Attacker involverar Cobalt Strike -fyrar, liksom andra legitima verktyg som används för att få fotfäste på det komprometterade nätverket och uppnå uthållighet.
Kickern är att när Conti -operatörerna har tagit hand om ett privilegierat backup -användarkonto kan de göra vad de vill med säkerhetskopiorna. Rapporten som publicerades av Advanced Intelligence framkallade ett officiellt uttalande från Veeam - företaget vars backupverktyg Conti försöker kringgå.
Veeam uppgav att om ransomware -operatörerna lyckas få tag på ett privilegierat domänadministratörskonto finns det inget i världen som kan hindra dem från att torka av offrets säkerhetskopior. Ingen mängd patchar eller nya funktioner kan stoppa detta, så i stället rekommenderar Veeam att alla sina kunder kör backupprogrammet från en separat domän, så att komprometter med den primära domänen inte också innebär viss undergång för säkerhetskopiorna.
Conti var ransomware -gänget bakom attackerna på Irlands hälsovårdsnätverk som orsakade miljontals skador och nästan förlamade landets digitala sjukvårdssystem i flera dagar.
