Συμμορίες ransomware, όπως η BianLian και η Rhysida, καταχρώνται το Azure Storage Explorer και το AzCopy της Microsoft, με στόχο να κλέψουν δεδομένα από δίκτυα των θυμάτων και να τα αποθηκεύσουν στον χώρο αποθήκευσης Azure Blob.
Το Storage Explorer είναι ένα εργαλείο διαχείρισης GUI για το Microsoft Azure, ενώ το AzCopy είναι ένα εργαλείο command-line, που διευκολύνει τη μεταφορά δεδομένων από και προς τον χώρο αποθήκευσης Azure.
Η εταιρεία κυβερνοασφάλειας modePUSH παρατήρησε ότι οι ransomware συμμορίες καταχρώνται τα εργαλεία Azure και, στη συνέχεια, αποθηκεύουν τα κλεμμένα δεδομένα σε ένα Azure Blob container στο cloud. Μετά, οι επιτιθέμενοι τα μεταφέρουν στο δικό τους χώρο αποθήκευσης.
Δείτε επίσης: Port of Seattle: Το Rhysida ransomware πίσω από την επίθεση του Αυγούστου
Ωστόσο, για την κατάχρηση του Azure Storage Explorer, οι επιτιθέμενοι κάνουν κάποιες ενέργειες, συμπεριλαμβανομένης της εγκατάστασης dependencies και της αναβάθμισης του .NET στην έκδοση 8.
Αυτό, σύμφωνα με τους ερευνητές, δείχνει την αυξανόμενη εστίαση των ransomware συμμοριών στην κλοπή δεδομένων.
Κατάχρηση Azure από ransomware συμμορίες
Αν και κάθε συμμορία ransomware έχει το δικό της σύνολο εργαλείων, οι hackers χρησιμοποιούν συνήθως το Rclone για συγχρονισμό αρχείων με διάφορους παρόχους cloud. Επίσης, χρησιμοποιούν το MEGAsync για συγχρονισμό με το MEGA cloud.
Το Azure, ως μια αξιόπιστη υπηρεσία που χρησιμοποιείται συχνά από εταιρείες, είναι απίθανο να αποκλειστεί από εταιρικά firewalls και εργαλεία ασφαλείας. Επομένως, οι προσπάθειες μεταφοράς δεδομένων μέσω εργαλείων Azure μπορεί να περάσουν απαρατήρητρες. Αυτό ακριβώς εκμεταλλεύονται οι hackers.
Επιπλέον, το Azure επιτρέπει τη διαχείριση μεγάλων όγκων δεδομένων, κάτι που συμφέρει τους επιιθέμενους.
Δείτε επίσης: Ο πάροχος υγείας LVHN πληρώνει 65 εκατ. δολάρια μετά από επίθεση Ransomware
Οι ερευνητές της modePUSH λένε ότι παρατήρησαν ransomware συμμορίες που καταχρώνται το Azure Storage Explorer για να ανεβάσουν αρχεία σε ένα blob container, επιταχύνοντας τη διαδικασία κλοπής.
Ransomware συμμορίες κλέβουν δεδομένα
Οι ερευνητές ανακάλυψαν ότι οι επιτιθέμενοι ενεργοποίησαν το προεπιλεγμένο ‘Info’ level logging, κατά τη χρήση του Storage Explorer και του AzCopy, για τη δημιουργία log file στο %USERPROFILE%\.azcopy.
Αυτό το αρχείο καταγραφής έχει ιδιαίτερη αξία, καθώς περιέχει πληροφορίες για τις λειτουργίες αρχείων, επιτρέποντας στους ερευνητές να προσδιορίσουν γρήγορα ποια δεδομένα κλάπηκαν (UPLOADSUCCESSFUL) και ποια άλλα payloads εισήχθησαν (DOWNLOADSUCCESSFUL).
Προστασία
Οι διαχειριστές θα πρέπει να παρακολουθούν για οποιαδήποτε μη εξουσιοδοτημένη εκτέλεση του AzCopy, να ελέγχουν το εξερχόμενο network traffic σε Azure Blob Storage endpoints στο “.blob.core.windows.net” ή σε Azure IP ranges και να ρυθμίσουν ειδοποιήσεις για ασυνήθιστα μοτίβα στην αντιγραφή αρχείων ή την πρόσβαση σε κρίσιμους διακομιστές.
Εάν το Azure χρησιμοποιείται ήδη σε έναν οργανισμό, συνιστάται να τσεκάρετε την επιλογή «Logout on Exit», για αυτόματη αποσύνδεση κατά την έξοδο από την εφαρμογή.
Προστασία από ransomware
Δημιουργία αντιγράφων ασφαλείας των δεδομένων σας: Ένας από τους πιο αποτελεσματικούς τρόπους για να προστατευτείτε από μια επίθεση ransomware είναι να δημιουργείτε τακτικά αντίγραφα ασφαλείας των δεδομένων σας. Αυτό διασφαλίζει ότι ακόμα κι αν τα δεδομένα σας είναι κρυπτογραφημένα από ransomware, θα έχετε ένα ασφαλές αντίγραφο που μπορεί να αποκατασταθεί χωρίς να πληρώσετε τα λύτρα.
Ενημέρωση λειτουργικού συστήματος και λογισμικού: Τα μη ενημερωμένα λειτουργικά συστήματα και λογισμικά είναι ευάλωτα σε επιθέσεις στον κυβερνοχώρο. Είναι σημαντικό να ενημερώνετε τακτικά τις συσκευές σας με τις πιο πρόσφατες ενημερώσεις ασφαλείας και λογισμικού για να αποτρέψετε τυχόν ευπάθειες που θα μπορούσαν να χρησιμοποιηθούν από ransomware.
Δείτε επίσης: Hazard Ransomware: Η ιστορία μιας αποτυχημένης αποκρυπτογράφησης
Προσοχή σε ύποπτα μηνύματα ηλεκτρονικού ταχυδρομείου και συνδέσμους: Οι επιθέσεις ransomware συχνά ξεκινούν με ένα phishing email ή κακόβουλο σύνδεσμο. Είναι σημαντικό να είστε προσεκτικοί όταν ανοίγετε μηνύματα ηλεκτρονικού ταχυδρομείου από άγνωστους αποστολείς. Επίσης, μην κάνετε κλικ σε ύποπτους συνδέσμους. Αυτά θα μπορούσαν να οδηγήσουν στην εγκατάσταση ransomware στη συσκευή σας.
Χρήση λογισμικού προστασίας από ιούς: Η εγκατάσταση αξιόπιστου λογισμικού προστασίας από ιούς στις συσκευές σας μπορεί να σας βοηθήσει να εντοπίσετε και να αποτρέψετε επιθέσεις ransomware. Φροντίστε να ενημερώνετε τακτικά το λογισμικό προστασίας από ιούς για να βεβαιωθείτε ότι είναι εξοπλισμένο για να χειρίζεται νέες απειλές.
Εκπαίδευση: Ένα από τα πιο σημαντικά βήματα για την προστασία από ransomware είναι η εκπαίδευση. Είναι σημαντικό να παραμένετε ενημερωμένοι για τους πιο πρόσφατους τύπους ransοmware και τον τρόπο λειτουργίας τους. Οι οργανισμοί θα πρέπει επίσης να εκπαιδεύουν τους υπαλλήλους τους για το πώς να εντοπίζουν και να αποφεύγουν πιθανές επιθέσεις.
Εφαρμογή ισχυρών κωδικών πρόσβασης: Οι αδύναμοι ή εύκολοι κωδικοί πρόσβασης μπορούν να διευκολύνουν τους hackers να αποκτήσουν πρόσβαση στις συσκευές σας και να εγκαταστήσουν ransomware. Είναι σημαντικό να χρησιμοποιείτε ισχυρούς και μοναδικούς κωδικούς πρόσβασης και να ενεργοποιείτε τον έλεγχο ταυτότητας δύο παραγόντων όποτε είναι δυνατόν.
Χρήση VPN: Ένα VPN κρυπτογραφεί τη σύνδεσή σας στο Διαδίκτυο και παρέχει ένα επιπλέον επίπεδο ασφάλειας έναντι επιθέσεων ransomware. Αυτό είναι ιδιαίτερα σημαντικό όταν χρησιμοποιείτε δημόσια δίκτυα Wi-Fi, τα οποία είναι συχνά μη ασφαλή και ευάλωτα σε επιθέσεις στον κυβερνοχώρο.
Πηγή: www.bleepingcomputer.com