Los grupos de ransomware están adoptando cada vez más nuevas estrategias para la exfiltración de datos, y hay pruebas recientes que apuntan al uso de Azure Storage Explorer de Microsoft para el robo de datos a gran escala. La tendencia, observada por modePUSH en sus últimas investigaciones, marca un cambio significativo en las tácticas de ransomware y aumenta los riesgos para los equipos de respuesta a incidentes en todo el mundo.
En los últimos cinco años, la exfiltración de datos ha pasado de ser un fenómeno poco frecuente a una táctica habitual en los ataques de ransomware. El objetivo principal de la exfiltración es extraer información confidencial de los sistemas comprometidos, lo que proporciona a los actores de amenazas una ventaja adicional durante las negociaciones.
Recientemente se ha observado que grupos de ransomware como BianLian y Rhysida utilizan Azure Storage Explorer para exfiltrar datos confidenciales. Los atacantes están reutilizando esta aplicación de Microsoft, que ofrece una interfaz gráfica para administrar el almacenamiento de Azure, para realizar transferencias de datos a gran escala al almacenamiento en la nube. El análisis de modePUSH de esta táctica proporciona información fundamental para los encargados de responder a incidentes sobre cómo detectar y mitigar estas nuevas amenazas.
Azure Storage Explorer: la herramienta contra el robo de datos
Azure Storage Explorer es una aplicación de Microsoft diseñada para administrar varios componentes de almacenamiento de Azure, como blobs, recursos compartidos de archivos y discos administrados. Si bien su propósito principal es proporcionar una interfaz fácil de usar para administrar datos de almacenamiento, los actores de amenazas han identificado su potencial para transferencias de datos a gran escala y lo aprovechan para la exfiltración de datos.
En la investigación más prolífica de modePUSH , el grupo de ransomware BianLian utilizó la versión AMD64 del sistema operativo Windows de Azure Storage Explorer para copiar cientos de archivos del servidor de archivos principal de una empresa. La herramienta se instaló en el sistema comprometido y, a menudo, los actores de amenazas tuvieron que actualizar la versión .NET a la versión 8 antes de continuar con la instalación.
Los atacantes instalaron Azure Storage Explorer en las siguientes rutas de directorio, según su elección de instalación:
%USERPROFILE%\AppData\Local\Programs\Microsoft Azure Storage Explorer
C:\Program Files\Microsoft Azure Storage Explorer
Además, el AzCopy
ejecutable, utilizado para administrar transferencias de archivos dentro del Explorador de Azure Storage, se encontraba en:
app\node_modules\@azure-tools\azcopy-win64\dist\bin\azcopy_windows_amd64.exe
¿Por qué Azure Storage Explorer?
Azure Storage Explorer permite a los actores de amenazas cargar archivos directamente a un contenedor de blobs dentro de Azure Blob Storage. Este tipo de almacenamiento está optimizado para manejar grandes volúmenes de datos no estructurados, lo que ofrece una alta escalabilidad. Además, es poco probable que los controles de seguridad de red bloqueen las conexiones salientes a direcciones IP de Microsoft que alojan cuentas de almacenamiento de Azure, lo que hace que este enfoque sea muy eficaz para la exfiltración encubierta de datos.
Antecedentes de almacenamiento de Azure
Para comprender las implicaciones del uso de Azure Storage Explorer para la exfiltración de datos, es esencial comprender los conceptos básicos de Azure Blob Storage. Consta de tres recursos clave:
- Cuenta de almacenamiento: la entidad general que proporciona un espacio de nombres para sus datos.
- Contenedor: una agrupación lógica dentro de la cuenta de almacenamiento que contiene sus blobs.
- Blob: El objeto de datos real almacenado dentro de un contenedor.
Esta estructura es similar a los sistemas de almacenamiento utilizados por otros proveedores de nube pública, como Amazon S3 y Google Cloud Storage.
Registro y análisis de AzCopy: la clave para detectar el robo de datos
Azure Storage Explorer utiliza AzCopy
, una herramienta de línea de comandos, para gestionar las transferencias de datos. Genera registros detallados durante estas transferencias, lo que ofrece una vía fundamental para que los encargados de responder a incidentes identifiquen los intentos de exfiltración de datos.
De forma predeterminada, Azure Storage Explorer AzCopy
utiliza el nivel de registro “INFO”, que captura eventos clave como cargas, descargas y copias de archivos. Las entradas de registro pueden incluir:
- UPLOADSUCCESSFUL y UPLOADFAILED: indican el resultado de las operaciones de carga de archivos.
- DESCARGA EXITOSA y DESCARGA FALLIDA: revelan detalles de los archivos traídos a la red desde Azure.
- COPYSUCCESSFUL y COPYFAILED: muestran actividades de copia en diferentes cuentas de almacenamiento.
Los registros se almacenan en el .azcopy
directorio dentro del perfil del usuario, lo que ofrece un recurso valioso para el análisis forense.
Configuración de registro y desafíos de la investigación
Azure Storage Explorer ofrece una opción de “Cerrar sesión al salir”, que está deshabilitada de forma predeterminada. Esta opción predeterminada conserva todas las sesiones válidas de Azure Storage cuando se vuelve a abrir la aplicación, lo que potencialmente permite que los actores de amenazas continúen con sus actividades incluso después de las investigaciones iniciales.
Al final del AzCopy
archivo de registro, los investigadores pueden encontrar un resumen de las actividades del trabajo, que ofrece una visión general de toda la operación de transferencia de datos. Este resumen final puede ser fundamental para comprender el alcance de la exfiltración de datos llevada a cabo por los atacantes.
Indicadores de compromiso (IOC)
Para detectar el uso de Azure Storage Explorer por parte de actores de amenazas, es necesario reconocer determinados indicadores de riesgo (IOC) en el sistema. Las siguientes rutas y archivos pueden sugerir la presencia de actividades de exfiltración de datos:
- Rutas de archivo:
%USERPROFILE%\AppData\Local\Programs\Microsoft Azure Storage Explorer
C:\Program Files\Microsoft Azure Storage Explorer
- Ejecutables:
StorageExplorer.exe
azcopy_windows_amd64.exe
- Ubicación del archivo de registro de AzCopy:
%USERPROFILE%\.azcopy
- Indicador de red:
.blob.core.windows.net
Es un conocido experto en seguridad móvil y análisis de malware. Estudió Ciencias de la Computación en la NYU y comenzó a trabajar como analista de seguridad cibernética en 2003. Trabaja activamente como experto en antimalware. También trabajó para empresas de seguridad como Kaspersky Lab. Su trabajo diario incluye investigar sobre nuevos incidentes de malware y ciberseguridad. También tiene un profundo nivel de conocimiento en seguridad móvil y vulnerabilidades móviles.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad