0
0
Relatório da Advintel afirma que os operadores do Conti estão ativamente buscando recursos de backup em suas invasões
Um relatório assinado pelos analistas Vitali Kremez e Yelisey Boguslavskiy, da empresa de monitoramento Advintel (Advanced Intelligence), sediada em Nova York, afirma que os operadores do ransomware Conti estão ativamente buscando recursos de backup em suas invasões, para desativá-los e deixar suas vítimas sem os dados que restaurariam as suas operações. Eles estariam buscando especificamente credenciais de administadores de software da empresa de backup Veeam, diz o relatório “Backup ‘Removal’ Solutions – From Conti Ransomware With Love”.
“Se a vítima tiver a capacidade de restaurar os arquivos por meio de backups, as chances de pagamento de resgate bem-sucedido para o Conti serão minimizadas, apesar do fato de que o risco de publicação de dados persiste”, escreveram os pesquisadores.
Os autores dizem que as táticas do Conti se baseiam na utilização das habilidades de seus invasores de rede ou “pentesters” para alvejar soluções de backup no local e em nuvem. “O Conti busca usuários e serviços privilegiados da Veeam e aproveita para acessar, exfiltrar, remover e criptografar backups para garantir que as violações de ransomware sejam impossíveis de ‘fazer backup’. Dessa forma, o Conti simultaneamente exfiltrava os dados para posterior chantagem da vítima, deixando a vítima sem chances de recuperar rapidamente seus arquivos conforme os backups são removidos”, acrescenta o relatório.
Consultada pelo CISO Advisor, a Veeam informou:
“Em relação a um artigo recente sugere que o software de backup e recuperação de desastres da Veeam foi ou pode ser desativado pela gangue Conti Ransomware, queremos garantir a você que esta informação não é factualmente correta e acreditamos que foi tirada do contexto em relação a uma resposta oficial / declaração da empresa. Atualmente, a Veeam não possui casos de suporte que mencionem o Conti em todo o seu sistema. A Veeam continua a olhar e proteger os clientes contra casos de ransomware, mas nada específico do Conti.
O Conti é um grupo de ransomware que opera em língua russa e tem grande atividade, especializado em operações de extorsão dupla de criptografia e exfiltração de dados simultâneas. Embora utilize a chantagem da exfiltração de dados, ameaçando as vítimas de publicar arquivos roubados se o resgate não for pago, a principal força em suas negociações é a criptografia de dados.
O relatório está em
https://www.advintel.io/post/backup-removal-solutions-from-conti-ransomware-with-love
Com agências de notícias internacionais
FONTE: CISO ADVISOR