Le ransomware Conti veut un skin de sauvegarde Veeam

Le ransomware Conti veut un skin de sauvegarde Veeam
AccueilDataCenterLe ransomware Conti veut un skin de sauvegarde Veeam
Notez l'article

Dernier rempart contre les ransomwares, les sauvegardes font l’objet d’une attention particulière des gangs cybercriminels. C’est notamment le cas de Conti, qui redouble d’efforts pour compromettre les solutions Veeam.

Haro sur les sauvegardes. Dans le domaine des ransomwares, c’est souvent le dernier espoir pour les victimes de récupérer leurs fichiers cryptés et d’éviter les rançons. Une épine dans le pied des groupes derrière le ransomware essayant de trouver des solutions pour compromettre les solutions de sauvegarde. C’est en tout cas ce qui ressort d’une analyse d’Advanced Intelligence (AdvIntel), puisque Conti Bande s’est concentré sur la destruction des sauvegardes et en particulier des solutions Veeam.

Dans son analyse, AdvIntel a constaté que le groupe Conti recrute des spécialistes de la sauvegarde. “Il est clair que les candidats pirates doivent avoir des compétences de premier ordre pour trouver et supprimer des sauvegardes”, dit-il. L’objectif est de constituer des équipes dédiées à cette tâche. N’oublions pas que Conti Ransomware est un service (RaaS) et propose donc des exploits aux partenaires.

Un modus operandi rôdé

Un modus operandi rôdé

Au niveau technique, Conti utilise divers outils dans ses attaques comme Cobalt Strike (largement utilisé dans le domaine du pen testing), Atera (un agent de gestion à distance) ou encore Ngrok, une application multi-plateforme qui ouvre les ports du local serveur à établir. communication sécurisée pour l’exfiltration de données. Dans de nombreuses attaques observées par la société de sécurité, les équipes de Conti recherchent des privilèges sur les sauvegardes et notamment sur Veeam. Ils le font en utilisant un Rclone trompé, un programme en ligne de commande pour gérer les fichiers sur le stockage en nuage, pour filtrer les données de sauvegarde. Ils ont ensuite fermé le système de la victime et supprimé les sauvegardes Veeam.

A découvrir  infoDSI : Le quotidien des utilisateurs IT en entreprise

La méthode des équipes Conti pour trouver et supprimer les sauvegardes Veeam. (Crédit photo : AdvIntel)

Interrogé par nos confrères de Threatpost, l’éditeur a déclaré qu’il propose plusieurs options pour protéger les données de sauvegarde Veeam contre les ransomwares. Parmi eux se trouvent des copies immuables (c’est-à-dire non modifiables) sur site ou dans le cloud. Cela rappelle aussi la règle 3-2-1, qui demande de faire 3 copies de données sur 2 supports différents avec une copie hors site.

Une erreur dans l’article ? Suggérer une rectification

Vues 340

Commentaires

Laisser un commentaire

Votre commentaire sera révisé par les administrateurs si besoin.