A felhő biztonsági mentései lehetnek a Ransomware operátorok célpontjai

Ransomware Operators Target Cloud Backups

Korábban már említettük, hogy az emberek és szervezetek sokkal jobban tudatában vannak a ransomware fenyegetésnek, mint régen. Ez annak az oka, hogy - legalábbis a statisztikákkal kapcsolatban - a fájlok titkosítása a rosszindulatú programok már nem a legnagyobb kiberbiztonsági probléma az otthoni felhasználók számára. Még mindig él és rúg, és azért van, mert az emberek továbbra is azt gondolják, hogy mindaddig, amíg van biztonsági másolatuk, biztonságban vannak. A biztonsági hírközlés a Bleeping Computer nemrégiben megjegyezte, hogy az ilyen gondolkodás mind a végfelhasználókat, mind a nagy szervezeteket nagyon rossz helyzetbe hozhatja.

A Ransomware operátorok belekeverednek az áldozatok felhő biztonsági mentéseibe

A Bleeping Computer már egy ideje figyelemmel kíséri a vállalkozásokat célzó ransomware-családok, például a DoppelPaymer és a Maze körüli fejleményeket. A múlt hónapban a hírportálja látta a megjelenése „Dopple szivárgás” - egy online portál futás és tartja fenn a DopplePaymer banda, hogy használják ki a kényes információk a szervezetek, amelyek már hit által zsarolóprogramok de nem hajlandók fizetni a váltságdíjat.

Röviddel a Dopple kiszivárgása után a csalók közzétették az egyik áldozathoz tartozó Veeam felhő biztonsági mentésének helyét és bejelentkezési adatait. Ez egy furcsa lépés a sarok részén, és a Bleeping Computer úgy döntött, hogy felveszi velük a kapcsolatot, hogy megtudja, mi folyik itt.

A Ransomware támadások révén a számítógépes bűnözők teljes hozzáférést kapnak a vállalat adataihoz, ideértve a biztonsági másolatait is

A hírportál felvette a kapcsolatot a DoppplePaymer és a Maze ransomware családokat működtető bandákkal, és megkérdezte tőlük, hogyan kapják meg a kezüket az ilyen bejelentkezési adatok, és miért döntöttek el néha közzétenni őket. Nem meglepő, hogy a csalók nem akartak túl sok részletet elküldeni, ám elegendő információval szolgáltak, hogy betekintést nyújtsunk nekünk a vállalkozásokat célzó ransomware támadások működéséről manapság.

A hackerek azzal érkeznek, hogy egy végpontot veszélyeztetnek adathalász, rosszindulatú programok vagy egy rosszul konfigurált Távoli asztali protokoll szolgáltatás használatával. Az adatok egyetlen számítógépre történő lezárása néha nagyon pusztító lehet, de a csalók maximális károkat akarnak biztosítani, ezért igyekszik oldalirányban mozogni a hálózaton belül. A végső cél az adminisztrátori hitelesítő adatok kinyerése, amelyek teljes ellenőrzést adnak az áldozatok informatikai infrastruktúrája felett. E hitelesítő adatok beszerzéséhez a csalók keyloggereket, adathalász támadásokat és penetrációs tesztelő készleteket használnak, mint például a Mimikatz. Még azután is, hogy átveszik az irányítást az áldozat hálózatán, a csalók nem azonnal lépnek tovább a fájl titkosítási szakaszába.

A modern ransomware támadások olyan eszközöket tartalmaznak, amelyek helyi és felhő biztonsági mentéseket keresnek. Biztonsági mentések esetén a ransomware operátorok másolhatják az adatokat az általuk ellenőrzött szerverekre, és később más támadásokhoz használhatják fel azokat. Törölhetik azt is annak biztosítása érdekében, hogy az áldozatnak csak más lehetősége van: a váltságdíj megfizetése. A felhőben tárolt biztonsági másolatokat sok esetben felhasználónevek és jelszavak védik, de gyakran hozzáférhetők azokkal az adminisztratív hitelesítő adatokkal, amelyeket a csónakok már elloptak, így az elérésük nem jelent problémát.

A Ransomware operátorok meg akarják mutatni a világnak, milyen veszélyesek lehetnek

Nem szabad meglepődnünk, hogy a ransomware operátorok hozzáférhetnek az áldozatok biztonsági mentéseihez. Néhány hónappal ezelőtt a biztonsági szakértők észrevették, hogy a számítógépes bűnözők titkosításuk előtt elkezdenek titkos vállalati adatokat lopni, és csak szokásos volt azt feltételezni, hogy előbb vagy utóbb valamilyen biztonsági másolatot készítenek.

A támadásról, amelyet a Bleeping Computer írt, kicsit furcsa volt, mert ennek során a csalók úgy döntöttek, hogy nem törlik a biztonsági másolatot, és az áldozataikat nem hagyják szabadon az adatok helyreállítása céljából. Azt sem tették meg, hogy beolvassák a biztonsági másolatot azáltal, hogy a föld alatti piacokon értékesítették. Ehelyett csak közzétették egy nyilvános weboldalon, ahol bárki hozzáférhet.

A DopplePaymer operátorai azt mondták a Bleeping Computernek, hogy ezt tették annak érdekében, hogy megmutassák a világnak, mennyire uralják az áldozatok hálózatait. Más szavakkal, mindenkinek elmondják, mennyire veszélyesek lehetnek támadásaik, és ha az ezüst bélést kell keresnünk az egész esemény során, akkor valószínűleg azt mondhatnánk, hogy ez megnövelte a vállalatok esélyét a tartalék politikájuk átgondolására.

Az embereknek abba kell hagyniuk azt a feltételezést, hogy egyetlen biztonsági mentés elegendő a zökkenőmentes helyreállításhoz a ransomware támadás nyomán. Azt is állíthatják, hogy - különösen üzleti vállalkozások esetében - nincs olyan probléma, mint a zökkenőmentes helyreállítás. Ez nem azt jelenti, hogy a biztonsági mentések nem fontosak. Valójában, ha van ilyen, a fentebb leírthoz hasonló események azt mutatják, hogy az adatok biztonságos biztonsági mentése hosszú folyamat, amely sok döntéshozatalt és magas szintű figyelmet fordít a részletekre.

March 4, 2020
Betöltés...

Cyclonis Backup Details & Terms

The Free Basic Cyclonis Backup plan gives you 2 GB of cloud storage space with full functionality! No credit card required. Need more storage space? Purchase a larger Cyclonis Backup plan today! To learn more about our policies and pricing, see Terms of Service, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.