Conti Ransomware utvider muligheten til å ødelegge sikkerhetskopier.
Conti Ransomware utvider muligheten til å ødelegge sikkerhetskopier
| Conti ransomware-gjengen har utviklet nye taktikker for å ødelegge sikkerhetskopier, spesielt i Veeam-gjenopprettingsprogramvaren. Conti starter rutinemessig angrepene sine ved å installere en Cobalt Strike Beacon. Cobalt Strike er et legitimt, kommersielt tilgjengelig verktøy opprinnelig designet for penetrasjonstestere. Dette verktøyet brukes av Conti for å finne sikkerhetshull i målets nettverk. Deretter brukes fjern-administreringsverktøyet Atera i kombinasjon med Ngrok for å opprettholde en tilkobling til det infiserte nettverket via eksponerte serverporter. I mange av angrepene Advanced Intelligence har sett, blir denne angrepsrutinen brukt av Conti sine operatører for å få tilgang til priviligerte brukerkontoer i Veeam-backupsystemet. Advanced Intelligence beskriver disse nye rutinene i sin rapport publisert 29.09.21. |
||||
| Referanser | ||||
|---|---|---|---|---|
|
https://threatpost.com/conti-ransomware-backu[...] https://www.advintel.io/post/backup-removal-s[...] |