クラウドバックアップがランサムウェアオペレーターの標的になる可能性があります
人々や組織は、以前よりもランサムウェアの脅威を認識していることを以前に述べました。これは、少なくとも統計に関する限り、ファイル暗号化マルウェアがもはやホームユーザーにとって最大のサイバーセキュリティ問題ではない理由の一部です。しかし、それはまだ生きており、蹴っています。それは、バックアップがある限り安全だと人々が考え続けるからです。セキュリティニュースアウトレットのブリーピングコンピューターは、この種の考え方がエンドユーザーと大規模な組織の両方を非常に悪い状況に陥れる可能性があることを最近指摘しました。
Table of Contents
ランサムウェアオペレーターは、被害者のクラウドバックアップに干渉しています
Bleeping Computerは、DoppelPaymerやMazeなどのエンタープライズターゲティングランサムウェアファミリを取り巻く開発をしばらく追跡しています。先月、ニュースサイトは見た 「Dopple漏れ」の出現-オンライン・ポータルの実行をし、ランサムウェアに見舞われているが、身代金を支払うことを拒否している組織の機密情報を公開するために使用されているDopplePaymerギャングによって維持します。
Doppleがリークを開始した直後に、詐欺師は被害者の1人に属するVeeamクラウドバックアップの場所とログイン認証情報を公開しました。これは詐欺師たちの好奇心の強い動きであり、 Bleeping Computerは何が起こっているのかを知るために彼らに連絡することにしました。
ランサムウェア攻撃により、サイバー犯罪者は企業のデータ(バックアップを含む)に完全にアクセスできます
ニュースアウトレットは、DoppplePaymerおよびMazeランサムウェアファミリーを操作しているギャングと連絡を取り、そのようなログインデータをどのように入手し、なぜそれを公開することを決めたのかを尋ねました。驚くことではないが、詐欺師たちはあまり多くの詳細を明かしたくはなかったが、最近の企業を狙ったランサムウェア攻撃の仕組みについての洞察を与えるのに十分な情報を提供してくれた。
ハッカーは、フィッシング、マルウェア、または適切に構成されていないリモートデスクトッププロトコルサービスを使用して、単一のエンドポイントを侵害することから始めます。単一のコンピューター上でデータをロックすることは、時には非常に壊滅的なこともありますが、詐欺師は最大の損害を保証したいため、ネットワーク内で横方向に移動しようとします。最終的な目標は、被害者のITインフラストラクチャを完全に制御できる管理者の資格情報を抽出することです。これらの資格情報を取得するために、詐欺師はキーロガー、フィッシング攻撃、およびMimikatzなどの侵入テストキットを使用します。被害者のネットワークを制御した後でも、詐欺師はすぐにファイル暗号化の段階に進みません。
最新のランサムウェア攻撃には、ローカルおよびクラウドのバックアップを探すツールが含まれます。バックアップが存在する場合、ランサムウェアオペレーターは、自身が制御するサーバーにデータをコピーし、後で他の攻撃に使用できます。また、被害者に身代金を支払う以外の選択肢がないことを確認するために、それを削除することもできます。多くの場合、クラウドに保存されているバックアップはユーザー名とパスワードで保護されていますが、多くの場合、詐欺師がすでに盗んだ管理者資格情報でアクセスできるため、それらにアクセスすることは問題ではありません。
ランサムウェアオペレーターは、自分たちがどれほど危険かを世界に示したい
ランサムウェアオペレーターが被害者のバックアップにアクセスできるという事実に驚かないでください。数か月前、セキュリティの専門家は、サイバー犯罪者が企業の機密データを暗号化する前に盗み始めたことに気づきました。遅かれ早かれ、バックアップを手に入れると考えるのは普通のことでした。
Bleeping Computerが書いた攻撃は少し奇妙でしたが、その間、詐欺師はバックアップを削除せず、被害者に無料でデータを復元する方法を与えないことを決めたためです。また、バックアップされた情報を地下市場で販売することで収益化する試みも行いませんでした。代わりに、誰でもアクセスできる公開Webサイトにそれを置いただけです。
DopplePaymerのオペレーターは、Bleeping Computerに、被害者のネットワークをどの程度制御できるかを世界に示すためにこれを行ったと語った。言い換えれば、彼らは彼らの攻撃がどれほど危険であるかを皆に伝えています、そして、我々が事件全体で銀の裏地を探す必要があるならば、我々はおそらくそれが会社が彼らのバックアップ方針を再考する機会を増やしたと言うでしょう。
ランサムウェア攻撃を受けてシームレスに復旧するには、1回のバックアップで十分であると考えるのをやめなければなりません。特にビジネス組織に関しては、シームレスな復旧などはないと主張することさえできます。ただし、これはバックアップが重要ではないという意味ではありません。実際、上記のようなインシデントは、データの安全なバックアップが多くの意思決定と細部への高いレベルの注意を要する長いプロセスであることを示しています。