Grupos especializados em ransomware, tais como BianLian e Rhysida, estão intensificando o uso de ferramentas como Azure Storage Explorer e AzCopy, desenvolvidas pela Microsoft, para extrair dados de redes comprometidas.
Originalmente projetadas para simplificar o gerenciamento de dados na plataforma Azure, essas ferramentas estão sendo empregadas maliciosamente para armazenar e movimentar dados sigilosos para o armazenamento Blob do Azure, conforme informa a empresa de segurança cibernética modePUSH.
O Azure Storage Explorer oferece uma interface gráfica para administração, enquanto o AzCopy é uma ferramenta de linha de comando destinada a transferências de dados em massa.
De acordo com os ataques observados, esses criminosos efetuam o roubo de dados e os alocam de maneira temporária em contêineres Blob do Azure, os quais posteriormente são usados para transfiri-los a seus sistemas.
Entretanto, é necessário que os atacantes superem obstáculos técnicos, incluindo a instalação de dependências e atualização do .NET, para utilizar essas ferramentas com eficiência.
A escolha pelo Azure pelos grupos de ransomware se deve à sua popularidade entre as empresas, o que complica a identificação de atividades suspeitas pelos firewalls corporativos.
Ademais, a capacidade de escalabilidade do Azure facilita o manejo de grandes volumes de dados de forma ágil, característica essencial para operações de roubo em larga escala.
Serviços de nuvem alternativos, como MEGA e Rclone, também são empregados para exfiltrar dados.
Os analistas da modePUSH notaram que os criminosos habilitam os registros padrão do Storage Explorer e do AzCopy, produzindo registros (logs) que são preciosos para equipes de resposta a incidentes cibernéticos.
Esses registros detalham as operações executadas, como a transferência de dados, auxiliando na investigação da magnitude do roubo e na identificação de outras ameaças.
Para prevenir esses ataques, recomenda-se que as organizações monitorem cuidadosamente o uso do AzCopy, o tráfego de saída para o Azure Blob Storage e estabeleçam alertas para atividades de acesso consideradas suspeitas.
Configurar o "Logout on Exit" nas sessões do Azure também é uma estratégia eficaz para impedir que invasores explorem sessões ativas com o intuito de prosseguirem com a exfiltração de dados.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...