Παραβιάστηκε η αποθήκευση Azure cloud με κλεμμένους λογαριασμούς Microsoft – ορίστε τι πρέπει να γνωρίζετε

By

Marizas Dimitris

On

Σεπ 18, 2023

Οι φορείς απειλών γνωστοί ως BlackCat (επίσης γνωστός ως ALPHV) χρησιμοποιούν τώρα κλεμμένους λογαριασμούς

Microsoft

για να στοχεύσουν τους επιχειρησιακούς χρήστες αποθήκευσης cloud

Azure

.

Μια αναφορά από τους ερευνητές

κυβερνοασφάλεια

ς Sophos ισχυρίζεται ότι οι εισβολείς χρησιμοποιούν μια νέα παραλλαγή ενός γνωστού στελέχους ransomware στις επιθέσεις τους.

Η αναφορά βασίστηκε σε ανάλυση ενός θύματος που ήταν επίσης πελάτης της Sophos. Όταν η εταιρεία ερεύνησε μια παραβίαση, ανακάλυψε ότι οι εισβολείς απέκτησαν πρόσβαση στον λογαριασμό Sophos Central χρησιμοποιώντας έναν κλεμμένο κωδικό πρόσβασης μίας χρήσης (OTP). Το OTP ελήφθη από το θησαυροφυλάκιο LastPass του θύματος, μέσω της επέκτασης Chrome, προστέθηκε. Στη συνέχεια, οι εισβολείς χρησιμοποίησαν τη νέα πρόσβαση για να απενεργοποιήσουν την προστασία από παραβίαση και να τροποποιήσουν διάφορες πολιτικές ασφαλείας.

Κλεμμένα κλειδιά

Μετά από αυτό, η ομάδα κρυπτογραφούσε τα συστήματα του θύματος και πήγε για απομακρυσμένη αποθήκευση cloud Azure. Όλα ήταν κρυπτογραφημένα με την επέκταση .zk09cvt, συνολικά 39 λογαριασμούς Azure Storage.

Η ALPHV κατάφερε να αποκτήσει πρόσβαση στις πύλες Azre των θυμάτων μέσω ενός κλεμμένου κλειδιού, αναφέρει η έκθεση. Το κλειδί εγχύθηκε στο δυαδικό ransomware, αφού κωδικοποιήθηκε χρησιμοποιώντας το Base64,

BleepingComputer

εξήγησε.

Η BlackCat, ή ALPHV, είναι ένας πάροχος ransomware ως υπηρεσία, μια ομάδα που νοικιάζει τον κρυπτογραφητή της και τη γύρω υποδομή σε όποια ομάδα εγκλήματος στον κυβερνοχώρο μπορεί να το αντέξει οικονομικά. Πρόσφατα, μια ομάδα γνωστή ως Scattered

Spider

παρατηρήθηκε να χρησιμοποιεί αυτόν τον κρυπτογραφητή εναντίον τουλάχιστον ενός στόχου – ένα καζίνο του Λας Βέγκας.

Με τα χρόνια, οι επιθέσεις ransomware έχουν εξελιχθεί. Αρχικά ξεκίνησαν με απλές κρυπτογραφήσεις αρχείων και όταν οι οργανισμοί δημιούργησαν αντίγραφα ασφαλείας, οι απατεώνες άρχισαν να τα κλέβουν και να απειλούν να αποδεσμεύσουν ευαίσθητα δεδομένα, εκτός και αν γίνει η πληρωμή. Αυτές τις μέρες, ορισμένες ομάδες αποφασίζουν τώρα να αναπτύξουν τον κρυπτογραφητή στην πρώτη θέση, ισχυριζόμενοι ότι η όλη διαδικασία είναι πολύ δαπανηρή και δυσκίνητη, ειδικά όταν πρόκειται για τη συντήρηση και την ανάπτυξη του κρυπτογραφητή. Αντίθετα, απλώς κλέβουν σημαντικές πληροφορίες και απειλούν να τις δημοσιοποιήσουν.