El equipo de investigadores de modePUSH han realizado una investigación en la que señalan que familias de ransomware como BianLian y Rhysida utilizan activos como Azure Storage Explorer y AzCopy de Microsoft en sus operaciones. En concreto, los expertos señalan que operadores de estos ransomware almacenan los datos robados de sus víctimas en un contenedor Azure Blob en la nube, desde donde luego pueden transferirlos a sus propios activos.
Esto es debido a que al ser Azure un servicio empresarial de confianza que suelen utilizar las empresas es poco probable que los firewalls y las herramientas de seguridad corporativas bloqueen este tráfico. Además, Azure permite manejar grandes volúmenes de datos no estructurados, por lo que acelera el proceso de exfiltración.
Como medida de prevención se recomienda marcar la opción Cerrar sesión al salir a fin de evitar que los atacantes utilicen la sesión activa para el robo de archivos.
IOCs
File Paths
- %USERPROFILE%\AppData\Local\Programs\Microsoft Azure Storage Explorer
- C:\Program Files\Microsoft Azure StorageExplorerExecutables
- StorageExplorer.exe
- azcopy_windows_amd64.exeAzCopy Log file Location
- %USERPROFILE%\.azcopyNetwork
- .blob.core.windows.netSeguir leyendo [EN]: https://www.modepush.com/blog/highway-blobbery-data-theft-using-azure-storage-explorer