I backup del cloud potrebbero essere l'obiettivo degli operatori di ransomware

Ransomware Operators Target Cloud Backups

Abbiamo già detto in precedenza che persone e organizzazioni sono ora molto più consapevoli della minaccia ransomware di quanto non fossero in passato. Questo è uno dei motivi per cui, almeno per quanto riguarda le statistiche, il malware di crittografia dei file non è più il problema di sicurezza informatica più grande per gli utenti domestici. È ancora vivo e vegeto, tuttavia, ed è perché le persone continuano a pensare che fino a quando hanno i backup, sono al sicuro. Il notiziario sulla sicurezza Bleeping Computer ha notato di recente che questo tipo di pensiero potrebbe mettere in una situazione molto grave sia gli utenti finali che le grandi organizzazioni.

Gli operatori di ransomware si stanno intromettendo con i backup su cloud delle vittime

Bleeping Computer segue da tempo gli sviluppi intorno alle famiglie di ransomware rivolte alle aziende come DoppelPaymer e Maze. Il mese scorso, il sito web delle notizie ha visto la comparsa di "perdite di Dopple" - un portale online gestito e gestito dalla banda DopplePaymer che viene utilizzato per esporre le informazioni sensibili delle organizzazioni che sono state colpite dal ransomware ma si rifiutano di pagare il riscatto.

Poco dopo il lancio delle perdite di Dopple, i truffatori hanno pubblicato la posizione e le credenziali di accesso di un backup del cloud Veeam che appartiene a una delle vittime. Questa è stata una mossa curiosa da parte dei criminali, e Bleeping Computer ha deciso di contattarli per scoprire cosa sta succedendo.

Gli attacchi ransomware offrono ai criminali informatici l'accesso completo ai dati di un'azienda, inclusi i relativi backup

Il notiziario si è messo in contatto con le bande che gestiscono le famiglie di ransomware DoppplePaymer e Maze e ha chiesto loro come mettere le mani su tali dati di accesso e perché a volte decidono di pubblicarli. Non sorprende che i truffatori non volessero fornire troppi dettagli, ma ci hanno fornito abbastanza informazioni per darci un'idea di come funzionano gli attacchi ransomware rivolti alle aziende in questi giorni.

Gli hacker iniziano compromettendo un singolo endpoint utilizzando phishing, malware o un servizio Remote Desktop Protocol mal configurato. Il blocco dei dati su un singolo computer può essere talvolta devastante, ma i truffatori vogliono garantire il massimo danno, motivo per cui cercano quindi di spostarsi lateralmente all'interno della rete. L'obiettivo finale è quello di estrarre le credenziali dell'amministratore che danno loro il pieno controllo sull'infrastruttura IT della vittima. Per ottenere queste credenziali, i truffatori usano keylogger, attacchi di phishing e kit di test di penetrazione come Mimikatz. Anche dopo aver assunto il controllo sulla rete della vittima, i truffatori non procedono immediatamente alla fase di crittografia dei file.

I moderni attacchi ransomware coinvolgono strumenti che cercano backup locali e cloud. Se sono presenti backup, gli operatori di ransomware possono copiare i dati su server controllati da loro e utilizzarli per altri attacchi in seguito. Possono anche eliminarlo per garantire che la vittima non abbia altra scelta che pagare il riscatto. In molti casi, i backup archiviati nel cloud sono protetti da nomi utente e password, ma spesso sono accessibili con le credenziali amministrative che i criminali hanno già rubato, quindi arrivare a loro non è un problema.

Gli operatori di ransomware vogliono mostrare al mondo quanto potrebbero essere pericolosi

Non dovremmo davvero essere sorpresi dal fatto che gli operatori di ransomware possano accedere ai backup delle vittime. Alcuni mesi fa, gli esperti di sicurezza hanno notato che i criminali informatici hanno iniziato a rubare dati aziendali sensibili prima di crittografarli, ed era normale supporre che prima o poi, avrebbero messo le mani su alcuni backup.

L'attacco di cui ha parlato Bleeping Computer è stato un po 'strano, tuttavia, poiché durante questo, i truffatori hanno deciso di non eliminare i backup e di lasciare la loro vittima senza alcun modo di ripristinare i dati gratuitamente. Inoltre, non hanno fatto alcun tentativo di monetizzare le informazioni di backup vendendole sui mercati sotterranei. Invece, l'hanno semplicemente messo su un sito web pubblico dove chiunque potrebbe accedervi.

Gli operatori di DopplePaymer hanno detto a Bleeping Computer di averlo fatto per mostrare al mondo quanto controllo hanno sulle reti delle vittime. In altre parole, stanno dicendo a tutti quanto possano essere pericolosi i loro attacchi e se dovessimo cercare il rivestimento d'argento nell'intero incidente, probabilmente diremmo che ha aumentato le possibilità che le aziende ripensino le loro politiche di backup.

Le persone devono smettere di supporre che un singolo backup sia sufficiente per garantire un ripristino senza interruzioni a seguito di un attacco ransomware. Si potrebbe anche sostenere che, soprattutto quando si tratta di organizzazioni aziendali, non esiste una ripresa senza soluzione di continuità. Ciò non significa che i backup non siano importanti, comunque. Di fatto, incidenti come quello sopra descritto dimostrano che il backup sicuro dei dati è un processo lungo che richiede un sacco di decisioni e un alto livello di attenzione ai dettagli.

March 4, 2020
Caricamento in corso...

Cyclonis Backup Details & Terms

The Free Basic Cyclonis Backup plan gives you 2 GB of cloud storage space with full functionality! No credit card required. Need more storage space? Purchase a larger Cyclonis Backup plan today! To learn more about our policies and pricing, see Terms of Service, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.