勒索软件团伙滥用 Microsoft Azure 工具窃取数据

主要观点总结

这篇文章讨论了勒索软件团伙如何利用 Microsoft 的 Azure 存储资源管理器（Storage Explorer）和 AzCopy 工具从受感染的网络窃取数据并将其存储在 Azure Blob 存储中。文章还提到了为何勒索软件团伙选择使用 Azure 进行数据传输，包括 Azure 的可信度、可扩展性和性能优势，以及其不太可能被企业防火墙和安全工具阻止的特点。此外，文章还介绍了如何检测勒索软件泄露以及相应的防御措施。

关键观点总结

关键观点1: 勒索软件团伙使用 Azure 存储资源管理器（Storage Explorer）和 AzCopy 进行数据盗窃。

这些团伙使用这些工具从受感染的网络窃取数据并将其存储在 Azure Blob 存储中。

关键观点2: 勒索软件团伙选择使用 Azure 进行数据传输的原因。

Azure 是受信任的企业级服务，不太可能被企业防火墙和安全工具阻止。其可扩展性和性能使其能够处理大量非结构化数据，这有利于攻击者尽快窃取大量文件。

关键观点3: 检测勒索软件泄露的方法。

研究人员发现威胁分子在使用存储资源管理器和 AzCopy 时启用了默认的日志记录，这有助于事件响应人员快速确定哪些数据被盗。

关键观点4: 防御措施。

包括监控 AzCopy 执行情况、监控 Azure Blob 存储端点的出站网络流量，以及对文件复制或访问中的异常模式设置警报。此外，建议企业在使用 Azure 时采取其他安全措施，如选中“退出时注销”选项以防止攻击者利用活动会话进行文件窃取。

文章预览

BianLian 和 Rhysida 等勒索软件团伙越来越多地使用 Microsoft 的 Azure 存储资源管理器和 AzCopy 从受感染的网络窃取数据并将其存储在 Azure Blob 存储中。 Storage Explorer 是 Microsoft Azure 的 GUI 管理工具，而 AzCopy 是一个命令行工具，可以促进与 Azure 存储之间的大规模数据传输。在网络安全公司 modePUSH 观察到的攻击中，被盗数据随后被存储在云中的 Azure Blob 容器中，威胁分子随后可以将其传输到他们自己的存储中。 Azure 存储资源管理器界面 然而，研究人员指出，攻击者必须进行额外操作才能使 Azure 存储资源管理器正常工作，包括安装依赖项和将 .NET 升级到版本 8。此举也表明勒索软件操作越来越关注数据盗窃，这是威胁分子在随后的勒索阶段的主要手段。 为什么选择 Azure 虽然每个勒索软件团伙都有自己的一套泄露工具，但勒索软件团伙通常使用 Rclone 与各种 ………………………………