Τα Backup του Cloud θα μπορούσαν να είναι ο στόχος των χειριστών Ransomware
Αναφέραμε προηγουμένως ότι οι άνθρωποι και οι οργανώσεις έχουν πλέον πολύ μεγαλύτερη επίγνωση της απειλής ransomware από ό, τι πριν. Αυτός είναι ένας από τους λόγους για τους οποίους, τουλάχιστον όσον αφορά τα στατιστικά στοιχεία, το κακόβουλο λογισμικό κρυπτογράφησης αρχείων δεν αποτελεί πλέον το μεγαλύτερο πρόβλημα ηλεκτρονικής ασφάλειας για οικιακούς χρήστες. Είναι ακόμα ζωντανός και κλοτσιές, όμως, και αυτό συμβαίνει επειδή οι άνθρωποι συνεχίζουν να σκέφτονται ότι όσο έχουν αντίγραφα ασφαλείας, είναι ασφαλείς. Το τμήμα ειδήσεων ασφαλείας Bleeping Computer σημείωσε πρόσφατα ότι αυτό το είδος σκέψης θα μπορούσε να βάλει τόσο τους τελικούς χρήστες όσο και τους μεγάλους οργανισμούς σε μια πολύ άσχημη κατάσταση.
Table of Contents
Οι φορείς εκμετάλλευσης Ransomware εμπλέκονται με τα backup cloud των θυμάτων
Ο Bleeping Computer παρακολουθεί τις εξελίξεις γύρω από τις οικογένειες ransomware που στοχεύουν στις επιχειρήσεις, όπως το DoppelPaymer και το Maze για λίγο. Τον περασμένο μήνα, ο ιστότοπος ειδήσεων είδε την εμφάνιση διαρροών Dopple - μια διαδικτυακή πύλη που τρέχει και συντηρείται από την συμμορία DopplePaymer που χρησιμοποιείται για να εκθέσει τις ευαίσθητες πληροφορίες των οργανισμών που έχουν πληγεί από το ransomware αλλά αρνείται να πληρώσει τα λύτρα.
Λίγο μετά την έναρξη των διαρροών του Dopple, οι απατεώνες δημοσίευσαν τα διαπιστευτήρια τοποθεσίας και σύνδεσης ενός backup του cloud Veeam που ανήκει σε ένα από τα θύματα. Αυτή ήταν μια περίεργη κίνηση στο τμήμα των απατεώνων και η Bleeping Computer αποφάσισε να επικοινωνήσει μαζί τους για να μάθει τι συμβαίνει.
Οι επιθέσεις Ransomware παρέχουν στους κυβερνοεγκληματίες πλήρη πρόσβαση στα δεδομένα μιας εταιρείας, συμπεριλαμβανομένων των αντιγράφων ασφαλείας
Το ειδησεογραφικό πρακτορείο έρχεται σε επαφή με τις συμμορίες που εκμεταλλεύονται τις οικογένειες DoppplePaymer και Maze ransomware και τους ρώτησε πώς παίρνουν τα χέρια τους σε αυτά τα δεδομένα σύνδεσης και γιατί μερικές φορές αποφασίζουν να το δημοσιεύσουν. Δεν αποτελεί έκπληξη το γεγονός ότι οι απατεώνες δεν ήθελαν να δώσουν πάρα πολλές λεπτομέρειες, αλλά παρέδωσαν αρκετές πληροφορίες για να μας δώσουν μια εικόνα για το πώς οι επιθέσεις ransomware που απευθύνονται στις επιχειρήσεις αυτές τις μέρες.
Οι χάκερς ξεκινούν με το συμβιβασμό ενός μόνο τελικού σημείου που χρησιμοποιεί το ηλεκτρονικό "ψάρεμα" (phishing), το κακόβουλο λογισμικό (malware) ή μια κακά διαμορφωμένη υπηρεσία πρωτοκόλλου Remote Desktop Protocol. Το κλείδωμα των δεδομένων σε έναν υπολογιστή μπορεί μερικές φορές να είναι αρκετά καταστροφικό, αλλά οι απατεώνες θέλουν να εξασφαλίσουν μέγιστη ζημιά, γι 'αυτό και προσπαθούν να κινηθούν πλευρικά μέσα στο δίκτυο. Ο απώτερος στόχος είναι να εξαχθούν διαπιστευτήρια διαχειριστή που τους παρέχουν πλήρη έλεγχο της υποδομής πληροφορικής του θύματος. Για να λάβετε αυτά τα διαπιστευτήρια, οι απατεώνες χρησιμοποιούν keyloggers, επιθέσεις phishing και κιτ δοκιμών διείσδυσης όπως το Mimikatz. Ακόμη και αφού αναλάβουν τον έλεγχο του δικτύου του θύματος, οι απατεώνες δεν προχωρούν άμεσα στο στάδιο κρυπτογράφησης αρχείων.
Οι σύγχρονες επιθέσεις ransomware περιλαμβάνουν εργαλεία που αναζητούν αντίγραφα ασφαλείας τοπικών και σύννεφων. Εάν υπάρχουν αντίγραφα ασφαλείας, οι φορείς εκμετάλλευσης ransomware μπορούν να αντιγράψουν τα δεδομένα σε διακομιστές που ελέγχονται από αυτούς και να τις χρησιμοποιήσουν για άλλες επιθέσεις αργότερα. Μπορούν επίσης να το διαγράψουν για να εξασφαλίσουν ότι το θύμα δεν έχει άλλη επιλογή παρά να πληρώσει τα λύτρα. Σε πολλές περιπτώσεις, τα αντίγραφα ασφαλείας που αποθηκεύονται στο σύννεφο προστατεύονται από ονόματα χρηστών και κωδικούς πρόσβασης, αλλά συχνά είναι προσβάσιμα με τα διαπιστευτήρια διαχειριστή που έχουν ήδη κλαπεί οι απατεώνες, οπότε η λήψη τους δεν αποτελεί πρόβλημα.
Οι φορείς εκμετάλλευσης Ransomware θέλουν να δείξουν στον κόσμο πόσο επικίνδυνες θα μπορούσαν να είναι
Δεν πρέπει πραγματικά να εκπλαγούμε από το γεγονός ότι οι φορείς εκμετάλλευσης ransomware μπορούν να έχουν πρόσβαση στα αντίγραφα των θυμάτων. Πριν από μερικούς μήνες, οι ειδικοί ασφαλείας διαπίστωσαν ότι οι εγκληματίες του κυβερνοχώρου άρχισαν να κλέβουν ευαίσθητα δεδομένα της εταιρείας πριν την κρυπτογραφήσουν και ήταν φυσιολογικό να υποθέσουμε ότι αργά ή γρήγορα θα πάρουν τα χέρια τους σε κάποια αντίγραφα ασφαλείας.
Η επίθεση Bleeping Computer έγραψε ήταν λίγο περίεργη, ωστόσο, επειδή κατά τη διάρκεια αυτής, οι απατεώνες αποφάσισαν να μην διαγράψουν τα αντίγραφα ασφαλείας και να αφήσουν το θύμα τους με κανένα τρόπο για την αποκατάσταση των δεδομένων δωρεάν. Επίσης, δεν επιχείρησαν να αποκομίσουν έσοδα από τις υποστηριζόμενες πληροφορίες με την πώληση τους στις υπόγειες αγορές. Αντ 'αυτού, το έβαλαν σε μια δημόσια ιστοσελίδα όπου ο καθένας θα μπορούσε να έχει πρόσβαση σε αυτό.
Οι φορείς εκμετάλλευσης του DopplePaymer δήλωσαν στο Bleeping Computer ότι το έκαναν αυτό για να δείξουν στον κόσμο πόσο έλεγχο έχουν στα δίκτυα των θυμάτων. Με άλλα λόγια, λένε σε όλους πόσο επικίνδυνες είναι οι επιθέσεις τους και αν πρέπει να αναζητήσουμε την ασημένια επένδυση σε όλο το περιστατικό, θα λέγαμε πιθανώς ότι έχει αυξήσει τις πιθανότητες των εταιρειών να ξανασκεφτούν τις πολιτικές δημιουργίας αντιγράφων ασφαλείας.
Οι άνθρωποι πρέπει να σταματήσουν να υποθέτουν ότι ένα μόνο αντίγραφο ασφαλείας είναι αρκετό για να εξασφαλίσει απρόσκοπτη ανάκαμψη μετά από μια επίθεση ransomware. Θα μπορούσατε ακόμη να υποστηρίξετε ότι, ειδικά όταν πρόκειται για επιχειρηματικές οργανώσεις, δεν υπάρχει κάτι τέτοιο όπως η απρόσκοπτη ανάκαμψη. Αυτό δεν σημαίνει ότι τα αντίγραφα ασφαλείας δεν είναι σημαντικά, όμως. Στην πραγματικότητα, αντίθετα, περιστατικά όπως αυτά που περιγράφηκαν παραπάνω δείχνουν ότι η ασφαλή δημιουργία αντιγράφων ασφαλείας δεδομένων είναι μια μακρά διαδικασία που συνεπάγεται πολλή λήψη αποφάσεων και υψηλό επίπεδο προσοχής στη λεπτομέρεια.
