Dine cloud-sikkerhedskopier kan være målet for Ransomware-operatører
Vi har tidligere nævnt, at mennesker og organisationer nu er meget mere opmærksomme på ransomware-truslen, end de plejede at være. Dette er en del af grunden til, at i det mindste hvad statistikken angår, filkryptering af malware ikke længere er det største cybersecurity-problem for hjemmebrugere. Det er dog stadig i live og spark, og det er fordi folk fortsætter med at tro, at så længe de har sikkerhedskopier, er de sikre. Sikkerhedsnyhedsudgang Bleeping Computer bemærkede for nylig, at denne form for tænkning kunne sætte både slutbrugere og store organisationer i en meget dårlig situation.
Table of Contents
Ransomware-operatører blander sig med ofrenes cloud-sikkerhedskopier
Bleeping Computer har fulgt udviklingen omkring ransomware-familier som DoppelPaymer og Maze i virksomheden i et stykke tid nu. I sidste måned nyheden hjemmeside oplevede fremkomsten af "Dopple lækager" - en online portal køre og vedligeholdes af DopplePaymer bande, der bruges til at eksponere de følsomme oplysninger af organisationer, der har været ramt af ransomware men nægter at betale løsesummen.
Kort efter lanceringen af Dopple-lækager offentliggjorde skurkerne placerings- og loginoplysningerne for en Veeam-cloud-sikkerhedskopi, der hører til et af ofrene. Dette var et underligt træk fra skurkenes side, og Bleeping Computer besluttede at kontakte dem for at finde ud af, hvad der foregår.
Ransomware-angreb giver cyberkriminelle fuld adgang til et virksomheds data, inklusive dets sikkerhedskopier
Nyhedsudgangen kom i kontakt med bander, der driver DoppplePaymer- og Maze-ransomware-familierne og spurgte dem, hvordan de får fat på sådanne login-data, og hvorfor de undertiden beslutter at offentliggøre dem. Ikke overraskende ønskede skurkerne ikke at give for mange detaljer, men de leverede tilstrækkelig information til at give os et indblik i, hvordan ransomware-angreb rettet mod virksomheder fungerer i disse dage.
Hackerne starter med at kompromittere et enkelt slutpoint ved hjælp af phishing, malware eller en dårligt konfigureret Remote Desktop Protocol-service. Det kan undertiden være temmelig ødelæggende at låse dataene på en enkelt computer, men skurkerne ønsker at sikre maksimal skade, hvorfor de derefter prøver at bevæge sig sideværts i netværket. Det endelige mål er at udtrække administratoroplysninger, der giver dem fuld kontrol over offerets IT-infrastruktur. For at få disse legitimationsoplysninger bruger skurkerne keyloggers, phishing-angreb og test til penetrationstest som Mimikatz. Selv efter at de har overtaget kontrol over offerets netværk, fortsætter skurkerne ikke straks med filkrypteringstrinnet.
Moderne ransomware-angreb involverer værktøjer, der ser efter lokale og cloud-sikkerhedskopier. Hvis der findes sikkerhedskopier, kan ransomware-operatørerne kopiere dataene til servere, der kontrolleres af dem, og bruge dem til andre angreb senere. De kan også slette det for at sikre, at offeret ikke har andre muligheder end at betale løsepenge. I mange tilfælde er sikkerhedskopier, der er gemt i skyen, beskyttet af brugernavne og adgangskoder, men ofte er de tilgængelige med de administrative legitimationsoplysninger, som skurkerne allerede har stjålet, så at komme til dem er ikke et problem.
Ransomware-operatører ønsker at vise verden, hvor farlige de kunne være
Vi skal ikke rigtig overraske af det faktum, at ransomware-operatører kan få adgang til ofrenes sikkerhedskopier. For et par måneder siden bemærkede sikkerhedseksperter, at cyberkriminelle begyndte at stjæle følsomme virksomhedsdata, før de krypterede dem, og det var kun normalt at antage, at de før eller senere får deres hænder på nogle sikkerhedskopier.
Det angreb, som Bleeping Computer skrev om, var imidlertid lidt underligt, for i løbet af det besluttede skurkerne ikke at slette sikkerhedskopierne og lade deres offer ikke have nogen måde at gendanne dataene gratis. De gjorde heller ingen forsøg på at tjene penge på de sikkerhedskopierede oplysninger ved at sælge dem på de underjordiske markeder. I stedet satte de det bare på et offentligt websted, hvor alle kunne få adgang til det.
DopplePaymers operatører fortalte Bleeping Computer, at de gjorde dette for at vise verden, hvor meget kontrol de har over ofrenes netværk. Med andre ord fortæller de alle, hvor farlige deres angreb kan være, og hvis vi er nødt til at kigge efter sølvforet i hele hændelsen, vil vi sandsynligvis sige, at det har øget chancerne for, at virksomheder genovervejer deres sikkerhedspolitikker.
Folk må stoppe med at antage, at en enkelt sikkerhedskopi er nok til at sikre problemfri gendannelse i kølvandet på et ransomware-angreb. Du kan endda argumentere for, at der ikke især er en problemfri opsving, især når det kommer til forretningsorganisationer. Dette betyder dog ikke, at sikkerhedskopier ikke er vigtige. Faktisk, hvis noget, viser hændelser som den, der er beskrevet ovenfor, at sikker sikkerhedskopiering af data er en langvarig proces, der involverer en masse beslutningstagning og en høj grad af opmærksomhed på detaljer.
