Rhysida 和 BianLian 勒索病毒的最新攻击手段

关键要点

Rhysida 和 BianLian 勒索病毒利用 Microsoft Azure 工具实施数据窃取。泄露过程通过 Azure Storage Explorer 和 AzCopy 高效进行。强烈建议企业加强对 AzCopy 和 Azure Blob Storage 的监控。

最近，Rhysida 和 BianLian 勒索病毒组织通过利用 Microsoft 的 Azure Storage Explorer 和 AzCopy 工具，进行了一系列新的攻击。这些攻击能够在不被防火墙和安全工具检测到的情况下，有效地从被攻击网络中提取大量数据。BleepingComputer 报道称，此类新方法在数据外泄方面展现出更强的隐蔽性。

根据 modePUSH 的报告，勒索病毒组织在安装必要的依赖项并将 NET 升级到版本 8 后，利用多个 Azure Storage Explorer 实例加速将窃取的文件上传至 Azure Blob 存储，随后这些文件被转移至其控制的存储环境。进一步分析显示，在 Storage Explorer 和 AzCopy 中默认启用了“信息”级别日志记录，这使得创建记录被盗数据及可能的部署有效载荷的日志文件成为可能。这些发现突显了勒索病毒操作日益增长的数据外泄努力，研究人员建议各组织应加强对 AzCopy 执行和 Azure Blob 存储端点流量的监控。

关键建议描述加强监控建议企业对 AzCopy 和 Azure Blob 存储端点流量进行加强监控。启用自动注销强烈建议开启“退出时注销”功能，以防止自动化应用程序的账户被滥用。

针对这些攻击手法，企业应采取必要措施，加强防范意识与安全措施，以降低潜在的风险。

白鲸加速器解压密码