Συμμορίες ransomware όπως η BianLian και η Rhysida χρησιμοποιούν όλο και περισσότερο τον Azure Storage Explorer και το AzCopy της Microsoft για να υποκλέψουν δεδομένα από δίκτυα που έχουν παραβιαστεί και να τα αποθηκεύσουν στον χώρο αποθήκευσης Azure Blob.
Το Storage Explorer είναι ένα εργαλείο διαχείρισης GUI για το Microsoft Azure, ενώ το AzCopy είναι ένα εργαλείο γραμμής εντολών που μπορεί να διευκολύνει τη μεταφορά δεδομένων μεγάλης κλίμακας από και προς τον χώρο αποθήκευσης Azure.
Σε επιθέσεις που παρατηρήθηκαν από εταιρεία κυβερνοασφάλειας modePUSHτα κλεμμένα δεδομένα αποθηκεύονται στη συνέχεια σε ένα κοντέινερ Azure Blob στο cloud, όπου αργότερα μπορούν να μεταφερθούν από τους φορείς απειλής στο δικό τους χώρο αποθήκευσης.
Ωστόσο, οι ερευνητές σημείωσαν ότι οι εισβολείς έπρεπε να κάνουν επιπλέον δουλειά για να δουλέψουν το Azure Storage Explorer, συμπεριλαμβανομένης της εγκατάστασης εξαρτήσεων και της αναβάθμισης του .NET στην έκδοση 8.
Αυτό είναι ενδεικτικό της αυξανόμενης εστίασης στην κλοπή δεδομένων σε λειτουργίες ransomware, που είναι ο κύριος μοχλός για τους φορείς απειλών στη φάση του εκβιασμού που ακολουθεί.
Γιατί Azure;
Αν και κάθε συμμορία ransomware έχει το δικό της σύνολο εργαλείων διείσδυσης, οι συμμορίες ransomware χρησιμοποιούν συνήθως το Rclone για συγχρονισμό αρχείων με διάφορους παρόχους cloud και το MEGAsync για συγχρονισμό με το MEGA cloud.
Το Azure, ως μια αξιόπιστη υπηρεσία εταιρικού επιπέδου που χρησιμοποιείται συχνά από εταιρείες, είναι απίθανο να αποκλειστεί από εταιρικά τείχη προστασίας και εργαλεία ασφαλείας. Επομένως, οι προσπάθειες μεταφοράς δεδομένων μέσω αυτού είναι πιο πιθανό να περάσουν και να περάσουν απαρατήρητες.
Επιπλέον, η επεκτασιμότητα και η απόδοση του Azure, που του επιτρέπουν να χειρίζεται μεγάλους όγκους μη δομημένων δεδομένων, είναι ιδιαίτερα ωφέλιμη όταν οι επιτιθέμενοι προσπαθούν να εκμεταλλευτούν μεγάλο αριθμό αρχείων στο συντομότερο δυνατό χρόνο.
Το modePUSH λέει ότι παρατήρησε ηθοποιούς ransomware που χρησιμοποιούν πολλαπλές περιπτώσεις του Azure Storage Explorer για να ανεβάσουν αρχεία σε ένα κοντέινερ blob, επιταχύνοντας τη διαδικασία όσο το δυνατόν περισσότερο.
Ανίχνευση της διήθησης ransomware
Οι ερευνητές διαπίστωσαν ότι οι παράγοντες απειλών ενεργοποίησαν την προεπιλεγμένη καταγραφή επιπέδου «Πληροφοριών» όταν χρησιμοποιούν το Storage Explorer και το AzCopy, το οποίο δημιουργεί ένα αρχείο καταγραφής στο %USERPROFILE%\.azcopy.
Αυτό το αρχείο καταγραφής έχει ιδιαίτερη αξία για τους ανταποκριτές συμβάντων, καθώς περιέχει πληροφορίες για τις λειτουργίες αρχείων, επιτρέποντας στους ερευνητές να προσδιορίσουν γρήγορα ποια δεδομένα κλάπηκαν (UPLOADSUCCESSFUL) και ποια άλλα ωφέλιμα φορτία εισήχθησαν δυνητικά (DOWNLOADSUCCESSFUL).
Τα μέτρα άμυνας περιλαμβάνουν παρακολούθηση για την εκτέλεση του AzCopy, εξερχόμενη κίνηση δικτύου στα τελικά σημεία αποθήκευσης Azure Blob στο “.blob.core.windows.net” ή σε εύρη IP του Azure και ρύθμιση συναγερμών για ασυνήθιστα μοτίβα στην αντιγραφή αρχείων ή την πρόσβαση σε κρίσιμους διακομιστές.
Εάν το Azure χρησιμοποιείται ήδη σε έναν οργανισμό, συνιστάται να τσεκάρετε την επιλογή «Αποσύνδεση κατά την έξοδο» για αυτόματη αποσύνδεση κατά την έξοδο από την εφαρμογή, ώστε να αποτρέψετε τους εισβολείς από τη χρήση της ενεργής περιόδου λειτουργίας για κλοπή αρχείων.
VIA: bleepingcomputer.com