Le gang di ransomware, come BianLian e Rhysida, stanno sempre più spesso abusando degli strumenti Microsoft Azure Storage Explorer e AzCopy per il furto di dati da reti violate. Questi strumenti, normalmente utilizzati per la gestione e il trasferimento di dati su Azure, vengono sfruttati per esfiltrare informazioni sensibili verso contenitori Blob di Azure, eludendo i firewall aziendali grazie alla natura fidata del servizio cloud.
La società di sicurezza modePUSH ha rilevato che gli aggressori utilizzano più istanze di questi strumenti per accelerare il processo di furto dati. Sebbene l’uso di Azure richieda una maggiore configurazione tecnica, i vantaggi offerti in termini di scalabilità e prestazioni lo rendono ideale per rubare grandi quantità di dati.
I file di registro creati durante queste operazioni sono utili per chi indaga sugli attacchi, consentendo di tracciare i file rubati o caricati. Le difese suggerite includono il monitoraggio dell’uso di AzCopy e del traffico verso Azure Blob Storage, oltre all’implementazione di misure per disconnettere automaticamente le sessioni attive in Azure.
