Azure Storage Explorer: новое оружие в арсенале вымогателей

Легальный трафик становится идеальным прикрытием для атак.


gkne1r28aetbqy178692przp0iqeb88q.jpg


Специалисты безопасности из компании modePUSH недавно обнаружили, что вымогательские группировки, такие как BianLian и Rhysida, активно применяют инструменты Microsoft Azure Storage Explorer и AzCopy для кражи данных из взломанных сетей и их последующего хранения в облачном хранилище Azure Blob.

Storage Explorer представляет собой графический инструмент управления для Azure, а AzCopy — командная утилита для масштабного переноса данных в облако. Используя эти инструменты, преступники загружают украденные данные в контейнер Azure Blob, откуда они могут легко передавать их в другие хранилища.

Специалисты modePUSH отметили, что для работы с Azure Storage Explorer злоумышленникам приходится устанавливать дополнительные зависимости и обновлять .NET до версии 8. Это подчёркивает нарастающий акцент на краже данных в операциях с программами-вымогателями, где похищенная информация становится основным рычагом давления в последующей фазе шантажа.

Хотя каждая группа вымогателей использует собственные инструменты для эксфильтрации данных, Azure привлекает злоумышленников благодаря своей репутации корпоративного сервиса. Поскольку он широко используется во многих компаниях, его трафик реже блокируется корпоративными межсетевыми экранами и системами безопасности, что значительно упрощает передачу данных.

К тому же Azure обладает высокой масштабируемостью и производительностью, что особенно полезно при необходимости быстрого переноса больших объёмов файлов. Эксперты modePUSH также заметили, что преступники используют сразу несколько экземпляров Azure Storage Explorer, чтобы ускорить загрузку данных в контейнер Blob.

Исследователи выявили, что при использовании AzCopy и Storage Explorer злоумышленники включают стандартный уровень логирования «Info», который сохраняет информацию об операциях в лог-файле. Этот файл может помочь экспертам по реагированию на инциденты быстро определить, какие данные были похищены и какие файлы могли быть загружены на устройства жертв.

Для защиты рекомендуется мониторить выполнение AzCopy, отслеживать исходящий трафик к точкам Azure Blob Storage и устанавливать оповещения при обнаружении необычных действий, связанных с копированием или доступом к файлам на ключевых серверах. Организациям, которые уже используют Azure, следует включить опцию автоматического выхода из приложения после его закрытия, чтобы предотвратить использование активных сессий злоумышленниками для кражи данных.