Des gangs de ransomwares comme BianLian et Rhysida utilisent de plus en plus Azure Storage Explorer et AzCopy de Microsoft pour voler des données sur des réseaux piratés et les stocker dans Azure Blob Storage.
Storage Explorer est un outil de gestion d’interface graphique pour Microsoft Azure, tandis qu’AzCopy est un outil de ligne de commande qui peut faciliter les transferts de données à grande échelle vers et depuis Azure storage.
Dans les attaques observées par la société de cybersécurité modePUSH, les données volées sont ensuite stockées dans un conteneur Azure Blob dans le cloud, où elles peuvent ensuite être transférées par les auteurs de la menace vers leur propre stockage.
Cependant, les chercheurs ont noté que les attaquants devaient faire un travail supplémentaire pour faire fonctionner Azure Storage Explorer, notamment en installant des dépendances et en mettant à niveau.NET vers la version 8.
Cela témoigne de l’attention croissante portée au vol de données dans les opérations de ransomware, qui constitue le principal levier pour les acteurs de la menace dans la phase d’extorsion qui s’ensuit.
Pourquoi Azure?
Bien que chaque gang de ransomwares dispose de son propre ensemble d’outils d’exfiltration, les gangs de ransomwares utilisent couramment Rclone pour synchroniser des fichiers avec divers fournisseurs de cloud et MEGAsync pour la synchronisation avec MEGA cloud.
Azure, étant un service de confiance de niveau entreprise souvent utilisé par les entreprises, il est peu probable qu’il soit bloqué par les pare-feu et les outils de sécurité de l’entreprise. Par conséquent, les tentatives de transfert de données à travers celui-ci sont plus susceptibles de passer et de passer inaperçues.
De plus, l’évolutivité et les performances d’Azure, qui lui permettent de gérer de gros volumes de données non structurées, sont très bénéfiques lorsque des attaquants tentent d’exfiltrer un grand nombre de fichiers dans les plus brefs délais.
modePUSH dit avoir observé des acteurs de ransomware utilisant plusieurs instances d’Azure Storage Explorer pour télécharger des fichiers dans un conteneur blob, accélérant le processus autant que possible.
Détection de l’exfiltration de rançongiciels
Les chercheurs ont découvert que les auteurs de la menace activaient la journalisation au niveau « Info » par défaut lors de l’utilisation de Storage Explorer et AzCopy, ce qui crée un fichier journal à %USERPROFILE%.azcopie.
Ce fichier journal est particulièrement utile pour les intervenants en cas d’incident, car il contient des informations sur les opérations sur les fichiers, ce qui permet aux enquêteurs de déterminer rapidement quelles données ont été volées (TÉLÉCHARGEMENT RÉUSSI) et quelles autres charges utiles ont été potentiellement introduites (TÉLÉCHARGEMENT RÉUSSI).
Les mesures de défense incluent la surveillance de l’exécution d’AzCopy, le trafic réseau sortant vers les points de terminaison de stockage Blob Azure à « .blob.core.windows.net » ou des plages d’adresses IP Azure, et la définition d’alarmes pour des modèles inhabituels de copie de fichiers ou d’accès sur des serveurs critiques.
Si Azure est déjà utilisé dans une organisation, il est recommandé de cocher l’option « Déconnexion à la sortie » pour se déconnecter automatiquement à la sortie de l’application, afin d’empêcher les attaquants d’utiliser la session active pour le vol de fichiers.