El tráfico legítimo se convierte en una cobertura ideal para los ataques.
Los especialistas en seguridad de la empresa modePUSH recientemente descubrieron que grupos de ransomware, como BianLian y Rhysida, están utilizando activamente herramientas como Microsoft Azure Storage Explorer y AzCopy para robar datos de redes comprometidas y almacenarlos posteriormente en el almacenamiento en la nube de Azure Blob.
Storage Explorer es una herramienta gráfica de gestión para Azure, mientras que AzCopy es una utilidad de línea de comandos para la transferencia masiva de datos a la nube. Utilizando estas herramientas, los delincuentes suben los datos robados a un contenedor de Azure Blob, desde donde pueden transferirlos fácilmente a otros almacenamientos.
Los especialistas de modePUSH señalaron que para trabajar con Azure Storage Explorer, los atacantes deben instalar dependencias adicionales y actualizar .NET a la versión 8. Esto subraya el creciente enfoque en el robo de datos en las operaciones de ransomware, donde la información robada se convierte en la principal palanca de presión en la fase posterior de extorsión.
Aunque cada grupo de ransomware utiliza sus propias herramientas para la exfiltración de datos, Azure atrae a los atacantes debido a su reputación como servicio corporativo. Dado que se utiliza ampliamente en muchas empresas, su tráfico es menos bloqueado por cortafuegos corporativos y sistemas de seguridad, lo que facilita considerablemente la transferencia de datos.
Además, Azure tiene una alta escalabilidad y rendimiento, lo que es particularmente útil cuando es necesario transferir rápidamente grandes volúmenes de archivos. Los expertos de modePUSH también notaron que los delincuentes usan variаs instancias de Azure Storage Explorer a la vez para acelerar la carga de datos en el contenedor Blob.
Los investigadores descubrieron que al usar AzCopy y Storage Explorer, los atacantes habilitan el nivel estándar de registro "Info", que guarda información sobre las operaciones en un archivo de registro. Este archivo puede ayudar a los expertos en respuesta a incidentes a identificar rápidamente qué datos fueron robados y qué archivos pudieron haber sido cargados en los dispositivos de las víctimas.
Se recomienda monitorear la ejecución de AzCopy, rastrear el tráfico saliente hacia puntos de Azure Blob Storage y configurar alertas cuando se detecten actividades inusuales relacionadas con la copia o el acceso a archivos en servidores clave. A las organizaciones que ya usan Azure se les aconseja habilitar la opción de cierre automático de sesión al salir de la aplicación para evitar que los atacantes utilicen sesiones activas para robar datos.