BianLian 和 Rhysida 使用 Azure 进行勒索软件攻击

modePUSH 的安全专家最近发现，BianLian 和 Rhysida 等勒索软件组织正在积极使用 Microsoft Azure Storage Explorer 和 AzCopy 等工具从受感染的网络中窃取数据并将其存储在 Azure Blob 云存储中。

存储资源管理器是 Azure 的图形管理工具，而 AzCopy 是用于将数据大规模传输到云的命令行实用程序。使用这些工具，犯罪分子将被盗数据上传到 Azure Blob 容器，然后可以轻松地将其传输到其他存储位置。

modePUSH 专家指出，为了使用 Azure 存储资源管理器，攻击者必须安装额外的依赖项并将 .NET 升级到版本 8。这凸显了勒索软件操作中对数据盗窃的日益重视，其中被盗信息成为后续勒索阶段的主要杠杆。

虽然每个勒索软件组织都使用自己的工具进行数据泄露，但 Azure 因其作为企业服务的声誉而对网络犯罪分子特别有吸引力。由于它被许多公司广泛使用，因此其流量不太可能被公司防火墙和安全系统阻止，从而大大简化了数据传输过程。

此外，Azure 的可扩展性和性能非常有利，尤其是在需要快速传输大量文件时。modePUSH 专家还观察到，犯罪分子同时利用 Azure Storage Explorer 的多个实例来加快将数据上传到 Blob 容器的速度。

研究人员发现，在使用 AzCopy 和存储资源管理器时，攻击者会启用默认日志记录级别“Info”，该级别将操作详细信息记录在日志文件中。此文件可以帮助事件响应专家快速确定哪些数据被盗以及哪些文件可能已上传到受害者的设备。

为了防范此类威胁，建议监视 AzCopy 执行情况，跟踪到 Azure Blob 存储终结点的出站流量，并为涉及关键服务器上的文件复制或访问的异常活动设置警报。已在使用 Azure 的组织应在关闭应用程序后启用自动注销选项，以防止攻击者利用活动会话窃取数据。