Medusa 勒索软件组织遭遇了严重的操作安全 (OPSEC) 故障,这主要是由于该组织使用广泛使用的数据泄露工具 Rclone 将被盗数据存储在云存储服务 put.io 中。
关键问题源于错误配置的 Rclone 配置文件,该文件包含访问令牌和其他凭据,无意中允许未经授权访问其存储。
研究人员利用这一疏忽,侵入了美杜莎集团的云存储,获取了大量被盗数据。
在访问云存储后,调查人员发现,美杜莎组织存储了各种文件,包括受害者的敏感数据,例如堪萨斯城地区交通局,这使得他们不仅可以恢复,还可以删除关键文件,从而减轻对受害者的潜在伤害。
攻击者使用云存储管理工具 Rclone 从受感染的系统中窃取数据。
conf.txt 文件
Rclone 的配置文件 (conf.txt) 位于 C:WindowsAppCompat 中,表明攻击者使用 put.io 服务窃取数据,这表明攻击者利用预先配置的云存储帐户窃取数据,这凸显了保护云存储凭据和监控未经授权访问的重要性。
这些操作失误的曝光凸显了安全配置和对网络操作中使用的工具和服务进行警惕监控的重要性。
对美杜莎组织存储的入侵还提供了有关该组织的行动、方法和目标的宝贵情报,这对网络安全具有更广泛的影响,特别是关于安全云存储实践的重要性以及将敏感信息留在容易访问的位置的风险。
put.io API 文档
开发 Sigma 规则,这是一种用于安全信息和事件管理 (SIEM) 系统的检测规则,用于识别涉及使用 put.io 进行数据泄露的类似事件。
为了防止将来类似的 OPSEC 故障被利用,该规则试图提高网络安全团队的检测和响应能力。
Medusa 勒索软件集团的 OPSEC 失败强调了强大的安全程序的重要性,特别是在管理被盗数据和使用云服务时。
Dark Atlas Squad利用了 Medusa 勒索软件组织攻击中的安全配置错误(OPSEC 弱点),使他们能够在有限的时间内渗透到他们的云存储并检查他们从受害者那里窃取的数据。
调查显示,Medusa 利用勒索软件团体常用的流行数据泄露工具 Rclone 从受感染的系统中窃取数据。
虽然 Rclone 自称支持超过 70 家云存储提供商,但 Medusa 勒索软件集团却选择了不太常见的 put.io 服务来藏匿他们的不义之财。
原文始发于微信公众号(独眼情报):研究人员入侵美杜莎勒索软件组织的云存储(喔嚯)
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论