Las bandas de ransomware como BianLian y Rhysida utilizan cada vez más Azure Storage Explorer y AzCopy de Microsoft para robar datos de redes comprometidas y almacenarlos en Azure Blob Storage.
Storage Explorer es una herramienta de administración de GUI para Microsoft Azure y AzCopy es una herramienta de línea de comandos que facilita las transferencias de datos a gran escala hacia y desde el almacenamiento de Azure.
En el ataque observado por la empresa de ciberseguridad modePUSH, los datos robados se almacenan en contenedores Azure Blob en la nube, que luego los actores de amenazas podrían transferir a su propio almacenamiento.
Interfaz del Explorador de almacenamiento de Azure
Fuente: modePUSH
Sin embargo, los investigadores señalan que los atacantes tuvieron que realizar trabajo adicional para que Azure Storage Explorer funcionara, incluida la instalación de dependencias y la actualización a la versión 8 de .NET.
Esto indica un mayor énfasis en el robo de datos en los ataques de ransomware, que se convierte en la principal vía para los actores de amenazas durante la siguiente etapa de extorsión.
¿Por qué Azur?
Aunque cada grupo de ransomware tiene sus propias herramientas de exfiltración, los grupos de ransomware suelen utilizar Rclone para sincronizar archivos con varios proveedores de nube y MEGAsync para sincronizar con MEGA Cloud.
Debido a que Azure es un servicio confiable de nivel empresarial comúnmente utilizado por las empresas, es poco probable que los firewalls o herramientas de seguridad corporativos lo bloqueen, y los intentos de transferir datos a través de Azure pasarán desapercibidos.
Además, la escalabilidad y el rendimiento de Azure en el manejo de grandes cantidades de datos no estructurados son extremadamente útiles para los atacantes que buscan extraer grandes cantidades de archivos en el menor tiempo posible.
modePUSH dice que ha observado atacantes de ransomware que utilizan múltiples instancias de Azure Storage Explorer para cargar archivos en contenedores de blobs para acelerar el proceso tanto como sea posible.
Detección de fugas de ransomware
Los investigadores descubrieron que al usar Storage Explorer y AzCopy, los actores de amenazas habilitan el registro de nivel de “información” predeterminado y crean archivos de registro en %USERPROFILE%\.azcopy.
Este archivo de registro contiene información sobre las operaciones del archivo y permite a los investigadores determinar rápidamente qué datos fueron robados (UPLOADSUCCESSFUL) y qué otras cargas útiles pueden haberse introducido (DOWNLOADSUCCESSFUL). Esto es especialmente valioso para los respondedores de incidentes porque les permite tomar decisiones.
Éxito del registro de transferencia de datos
Fuente: modePUSH
Las defensas incluyen ejecutar AzCopy, monitorear el tráfico de red saliente a los puntos finales de Azure Blob Storage para “.blob.core.windows.net” o rangos de IP de Azure y verificar patrones inusuales de copia o acceso a archivos en servidores críticos. Contiene configuraciones de alarma para.
Si su organización ya usa Azure, active la opción “Cerrar sesión al salir” para cerrar sesión automáticamente cuando se cierre la aplicación y evitar que los atacantes aprovechen las sesiones activas para robar archivos. Le recomendamos que lo haga.
https://www.bleepingcomputer.com/news/security/ransomware-gangs-now-abuse-microsoft-azure-tool-for-data-theft/
