Las bandas de ransomware, como BianLian y Rhysida, están recurriendo con mayor frecuencia a herramientas de Microsoft Azure, como Storage Explorer y AzCopy, para sustraer información de redes comprometidas y almacenarla en Azure Blob Storage.

Storage Explorer es una herramienta de administración con interfaz gráfica, y AzCopy es una herramienta de línea de comandos para transferencias masivas de datos.

Según la empresa de ciberseguridad modePUSH, los delincuentes utilizan estas herramientas para transferir los datos robados a contenedores de Azure Blob en la nube, desde donde son enviados a sus propios sistemas. Sin embargo, para lograr esto, los atacantes necesitan realizar configuraciones adicionales, como la instalación de dependencias y la actualización del entorno .NET a la versión 8.

¿Por qué Azure?
Aunque otras herramientas como Rclone y MEGAsync suelen ser empleadas por estas bandas, Azure es preferido por su confianza en entornos empresariales, lo que permite sortear los sistemas de seguridad corporativos. Además, su capacidad de escalar y gestionar grandes volúmenes de datos de manera rápida lo convierte en una opción ideal para los ciberdelincuentes que buscan extraer grandes cantidades de información rápidamente.

Detección y defensa
Los atacantes activan el registro de nivel «Info» por defecto al usar Storage Explorer y AzCopy, generando un archivo de registro que se guarda en %USERPROFILE%[.]azcopy. Este es valios ya que proporciona detalles sobre las operaciones de transferencia de archivos, permitiendo a los investigadores identificar rápidamente qué datos fueron sustraídos y qué posibles cargas maliciosas fueron introducidas.

Las medidas de defensa recomendadas son la monitorización de la ejecución de AzCopy, la supervisión del tráfico saliente hacia los puntos de conexión de Azure Blob Storage, y la creación de alertas para detectar patrones inusuales en la copia de archivos.

Fuente:

modePUSH | Highway Blobbery: Data Theft using Azure Storage Explorer