Conti Ransomware uništava rezervne kopije
Sa porastom prijetnje od ransomware napada organizacije su razvile razne načine odbrane kako bi izbjegli ransomware infekciju ili u najgorem slučaju platili otkup. U zavisnosti od efikasnosti plana odgovora na sajber prijetnju unutar organizacije, nekad je rezervna kopija jedini efikasan odgovor nakon ransomware infekcije. Nažalost, sa razvojem odbrambenih mehanizama organizacija, dolazi do evolucije i kod ransomware napada. Grupa koja vrši distribuciju Conti ransomware-a je razvila metod uklanjanja rezervnih kopija podataka prilikom infekcije sistema, kako bi bili sigurni da organizacija nema drugog izbora nego da plati otkup.
Kao jedna od vrhunskih ransomware grupa Conti dolazi sa ruskog govornog području. Specijalizovani su za metod duple ucjene, odnosno njihova strategija je primarno orijentisana na plaćanju otkupa zbog nemogućnosti povratka podataka, a sekundarno dolazi ucjena sa objavljivanjem ukradenih podataka. Proces napada započinje korištenjem alata Cobalt Strike – legitimnog alata za testiranje mrežnog okruženja, koji je zloupotrebljen u ovom slučaju. Nakon toga dolazi do zloupotrebe još jednog legitimnog alata Atera – agenta za daljinsko upravljanje, koji omogućava boravak u mreži napadnute organizacije. Tu je i upotreba multi-sistemske aplikacije Ngrok da bi se uspostavio tunel za izvlačenje podataka.
Kako bi mogli da ispune primarni svoj cilj, ovoj grupi je sledeći korak uklanjanje rezervne kopije podataka. Sa tim ciljem, Conti Ransomware grupa se fokusirala na Veeam softver za pravljenje rezervnih kopija, koji se koristi za okruženja u oblaku, virtualna okruženja i fizička okruženja. Tipično se cilja privilegovani backup user kako bi se dobile privilegije za pristup Veeam softveru za pravljenje rezervnih kopija, nakon čega se vrši izvlačenje podataka, enkripcija uređaja i brisanje rezervnih kopija.
Povodom ovoga oglasila se i kompanija Veeam. U svojoj izjavi kažu: “Postoji više od jedne opcije da se Veeam rezervna kopija sačuva od ransomware-a. Postojane rezervne kopije (Immutable backup copies), napravljene lokalno, u oblaku, sistemima za skladištenje ili jedinstvenim uslužnim servisima ili čak kombinacija svih njih. Veeam ima sposobnost da omogući sigurno vraćanja podataka.” – Veeam direktor Rick Vanover.
Conti ransomware grupa kao vektor napada koristi:
– Ciljano pecanje preko elekronske pošte (Spear phishing) sa posebno pripremljenim prilozima;
– Ukradene ili slabe lozinke za RDP (Remote Desktop Protocol);
– Lažni softver promovisan preko SEO (search engine optimization);
– Putem drugih zlonamjernih softvera;
– Preko poznatih ranjivosti.
U cilju zaštite, potrebno je:
– Izvršiti edukaciju korisnika u vezi sa napadima preko elektronske pošte i socijalnog inžinjeringa;
– Implementirati odgovarajuća sigurnosna rješenja i prakse vezane za VPN, RDP, Veeam i korištenje lozinki.
– Potrebno je izvršiti segmentaciju i decentralizaciju mrežnog okruženja uz primjenu hijerarhijskih mrežnih protokola.