Hackers usam Azure para roubar dados
18 de Setembro de 2024

Grupos especializados em ransomware, tais como BianLian e Rhysida, estão intensificando o uso de ferramentas como Azure Storage Explorer e AzCopy, desenvolvidas pela Microsoft, para extrair dados de redes comprometidas.

Originalmente projetadas para simplificar o gerenciamento de dados na plataforma Azure, essas ferramentas estão sendo empregadas maliciosamente para armazenar e movimentar dados sigilosos para o armazenamento Blob do Azure, conforme informa a empresa de segurança cibernética modePUSH.

O Azure Storage Explorer oferece uma interface gráfica para administração, enquanto o AzCopy é uma ferramenta de linha de comando destinada a transferências de dados em massa.

De acordo com os ataques observados, esses criminosos efetuam o roubo de dados e os alocam de maneira temporária em contêineres Blob do Azure, os quais posteriormente são usados para transfiri-los a seus sistemas.

Entretanto, é necessário que os atacantes superem obstáculos técnicos, incluindo a instalação de dependências e atualização do .NET, para utilizar essas ferramentas com eficiência.

A escolha pelo Azure pelos grupos de ransomware se deve à sua popularidade entre as empresas, o que complica a identificação de atividades suspeitas pelos firewalls corporativos.

Ademais, a capacidade de escalabilidade do Azure facilita o manejo de grandes volumes de dados de forma ágil, característica essencial para operações de roubo em larga escala.

Serviços de nuvem alternativos, como MEGA e Rclone, também são empregados para exfiltrar dados.

Os analistas da modePUSH notaram que os criminosos habilitam os registros padrão do Storage Explorer e do AzCopy, produzindo registros (logs) que são preciosos para equipes de resposta a incidentes cibernéticos.

Esses registros detalham as operações executadas, como a transferência de dados, auxiliando na investigação da magnitude do roubo e na identificação de outras ameaças.

Para prevenir esses ataques, recomenda-se que as organizações monitorem cuidadosamente o uso do AzCopy, o tráfego de saída para o Azure Blob Storage e estabeleçam alertas para atividades de acesso consideradas suspeitas.

Configurar o "Logout on Exit" nas sessões do Azure também é uma estratégia eficaz para impedir que invasores explorem sessões ativas com o intuito de prosseguirem com a exfiltração de dados.

Publicidade

Proteja sua empresa contra hackers através de um Pentest

Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...