Microsoft Azure: hacker abusano dei tool per rubare dati

Gang di ransomware come BianLian e Rhysida utilizzano sempre di più Azure Storage Explorer e AzCopy di Microsoft. Lo scopo è quello di rubare dati da reti violate e archiviarli nell'archiviazione Azure Blob. Storage Explorer è uno strumento di gestione GUI per Microsoft Azure. AzCopy è invece uno strumento da riga di comando che può facilitare trasferimenti di dati su larga scala da e verso l'archiviazione Azure. Negli attacchi osservati dall'azienda di sicurezza informatica modePUSH, i dati rubati vengono archiviati in un contenitore Azure Blob nel cloud, dove possono essere successivamente trasferiti dagli autori della minaccia al proprio archivio.

Sebbene ogni gang di ransomware abbia il proprio set di strumenti di esfiltrazione, le gang di ransomware usano comunemente Rclone per sincronizzare i file con vari provider cloud e MEGAsync per sincronizzare con MEGA cloud. L’utilizzo di Microsoft Azure è invece strategico. Essendo questo un servizio di livello aziendale affidabile, difficilmente verrà bloccato dai firewall aziendali e dagli strumenti di sicurezza. È quindi più probabile che i tentativi di trasferimento dati attraverso di esso vengano superati e non vengano rilevati. Inoltre, la scalabilità e le prestazioni di Azure, che consentono di gestire grandi volumi di dati non strutturati, risultano estremamente vantaggiose quando gli aggressori tentano di esfiltrare un gran numero di file nel più breve tempo possibile. Secondo modePUSH, gli autori del ransomware utilizzano più istanze di Azure Storage Explorer per caricare file in un contenitore BLOB, velocizzando così il processo.

Microsoft Azure: il rilevamento dell'esfiltrazione del ransomware

I ricercatori hanno scoperto che gli autori della minaccia hanno abilitato la registrazione predefinita di livello "Info" quando utilizzano Storage Explorer e AzCopy. Questo crea un file di registro in %USERPROFILE%\.azcopy. Tale file di registro è di particolare valore per chi risponde agli incidenti, poiché contiene informazioni sulle operazioni sui file. Ciò consente agli investigatori di determinare rapidamente quali dati sono stati rubati (UPLOADSUCCESSFUL) e quali altri payload sono stati potenzialmente introdotti (DOWNLOADSUCCESSFUL). Le misure di difesa includono il monitoraggio dell'esecuzione di AzCopy, del traffico di rete in uscita verso gli endpoint di Azure Blob Storage in ".blob.core.windows.net" o intervalli IP di Azure. Inoltre, è anche possibile impostare allarmi per modelli insoliti nella copia dei file o nell'accesso su server critici.

Alle organizzazioni che utilizzano Microsoft Azure, si consiglia di selezionare l'opzione "Disconnetti all'uscita". Ciò permetterà di disconnettersi automaticamente all'uscita dall'applicazione, in modo da impedire agli aggressori di utilizzare la sessione attiva per il furto di file.