注意：Conti Ransomwareは、バックアップのワイプに新しいツールを追加します

セキュリティ会社AdvancedIntelligenceの研究者は、悪名高いContiランサムウェアに関する最近のレポートを公開しました。レポートは、システムバックアップを破壊するランサムウェアの新しい機能に焦点を当てています。

コンティランサムウェアギャングは、最も危険なサイバー犯罪組織の1つであることで有名です。アドバンストインテリジェンスの調査チームは、レポートでギャングを「冷酷」と呼び、過去にコンティギャングが攻撃の結果が致命的となる可能性のあるいくつかのエンティティを攻撃したという事実を強調しています。これには、病院や救急医療センターなど、さまざまな医療および医療機関や組織が含まれます。

レポートは、コンティギャングがメンバーを募集する方法にも注目しています。ギャングの「サービスとしてのランサムウェア」モデルの下でアフィリエイトを承認する際に最も求められているスキルの1つは、システムのバックアップを迅速かつ効率的にワイプする機能です。

当然のことながら、バックアップがなく、ランサムウェアに感染したネットワークを正常な状態に復元できないことが、実際に身代金を支払う最大の動機です。これが、コンティがバックアップの破壊に長けているアフィリエイトを見つけることに集中している理由です。これにより、攻撃後に支払いを受け取る可能性が高くなります。

Contiギャングは、Veeamと呼ばれる1つのデータセキュリティ会社のアプリケーションを使用して作成および保存されたバックアップデータを破棄することに特に関心があるようです。

攻撃ベクトルとContiギャングの一部でのツールの展開はかなり標準的な手順ですが、ある時点でContiのハッカーは特権バックアップユーザーアカウントを取得します。その時点で、バックアップワイプを防ぐために実際にできることは何もありません。

Veeamはこの報告に応えて正式な声明を発表し、ハッカーがドメイン管理者アカウントにアクセスできるようになると、会社やソフトウェアができることは実際には何もないと述べました。同社はさらに、バックアップソフトウェアを別のドメインで実行するよう顧客にアドバイスしたため、プライマリドメインの侵害がバックアップワイプにもつながるこのような状況を回避できます。

コンティギャングは、二重の恐喝戦術を使用していることでも知られています。これは、ますます多くのランサムウェアアクターが採用しているものです。これには、被害者のネットワークを暗号化することと、攻撃中に盗まれた機密情報を漏らすと脅迫することの両方が含まれます。