勒索软件团伙滥用 Microsoft Azure 工具窃取数据

主要观点总结

这篇文章讨论了勒索软件团伙如何利用 Microsoft 的 Azure 存储资源管理器（Storage Explorer）和 AzCopy 工具从受感染的网络窃取数据并将其存储在 Azure Blob 存储中。文章还提到了为何勒索软件团伙选择使用 Azure 进行数据传输，包括 Azure 的可信度、可扩展性和性能优势，以及其不太可能被企业防火墙和安全工具阻止的特点。此外，文章还介绍了如何检测勒索软件泄露以及相应的防御措施。

关键观点总结

关键观点1: 勒索软件团伙使用 Azure 存储资源管理器（Storage Explorer）和 AzCopy 进行数据盗窃。

这些团伙使用这些工具从受感染的网络窃取数据并将其存储在 Azure Blob 存储中。

关键观点2: 勒索软件团伙选择使用 Azure 进行数据传输的原因。

Azure 是受信任的企业级服务，不太可能被企业防火墙和安全工具阻止。其可扩展性和性能使其能够处理大量非结构化数据，这有利于攻击者尽快窃取大量文件。

关键观点3: 检测勒索软件泄露的方法。

研究人员发现威胁分子在使用存储资源管理器和 AzCopy 时启用了默认的日志记录，这有助于事件响应人员快速确定哪些数据被盗。

关键观点4: 防御措施。

包括监控 AzCopy 执行情况、监控 Azure Blob 存储端点的出站网络流量，以及对文件复制或访问中的异常模式设置警报。此外，建议企业在使用 Azure 时采取其他安全措施，如选中“退出时注销”选项以防止攻击者利用活动会话进行文件窃取。