Jūsų „Cloud“ atsarginės kopijos gali būti „Ransomware“ operatorių taikinys
Anksčiau minėjome, kad žmonės ir organizacijos dabar daug geriau žino apie išpirkos programinės įrangos grėsmę nei anksčiau. Tai yra priežastis, dėl kurios, bent jau statistikos srityje, failų šifravimas kenkėjiška programine įranga nebėra didžiausia namų vartotojų kibernetinio saugumo problema. Vis dėlto jis vis dar gyvas ir spardosi, ir todėl, kad žmonės ir toliau galvoja, kad kol turi atsargines kopijas, jie yra saugūs. Saugumo naujienų skyrius „Bleeping Computer“ neseniai pažymėjo, kad toks mąstymas gali paversti labai blogą situaciją tiek galutiniams vartotojams, tiek didelėms organizacijoms.
Table of Contents
„Ransomware“ operatoriai kišasi į aukų debesų atsargines kopijas
„Bleeping Computer“ jau kurį laiką stebi pokyčius, susijusius su įmonėmis, orientuotomis į išpirkos programas, tokias kaip „DoppelPaymer“ ir „Maze“. Praėjusį mėnesį, naujienos svetainė pamačiau, kad "Dopple nutekėjimo" išvaizdą - interneto portalo paleisti ir prižiūri DopplePaymer gauja, kuri naudojama atskleisti konfidencialią informaciją organizacijų, kurie nukentėjo dėl virusui, tačiau atsisako mokėti išpirkos.
Netrukus po to, kai „Dopple“ nutekėjo, sukčiai paskelbė „Veeam“ debesies atsarginės kopijos, priklausančios vienai iš aukų, vietą ir prisijungimo duomenis. Tai buvo smalsus sukčių žingsnis, ir „Bleeping Computer“ nusprendė susisiekti su jais ir išsiaiškinti, kas vyksta.
„Ransomware“ išpuoliai suteikia elektroniniams nusikaltėliams visišką prieigą prie bendrovės duomenų, įskaitant jos atsargines kopijas
Naujienų agentūra susisiekė su grupėmis, valdančiomis „DoppplePaymer“ ir „Maze“ išpirkos programų šeimas, ir paklausė jų, kaip jie gauna savo ranką dėl tokių prisijungimo duomenų ir kodėl kartais nusprendžia juos paskelbti. Nenuostabu, kad sukčiai nenorėjo atiduoti per daug detalių, tačiau jie pateikė pakankamai informacijos, kad suteiktų mums įžvalgos, kaip šiomis dienomis veikia įmonėms skirtos išpirkos programos.
Piratai pradeda kompromituodami vieną galinį tašką, naudodamiesi sukčiavimo, kenkėjiškų programų arba prastai sukonfigūruoto Nuotolinio darbalaukio protokolo paslauga. Duomenų užrakinimas viename kompiuteryje kartais gali būti gana pragaištingas, tačiau sukčiai nori užtikrinti maksimalią žalą, todėl jie tada bando judėti į šoną tinkle. Pagrindinis tikslas yra išgauti administratoriaus įgaliojimus, kurie jiems suteikia visišką aukos IT infrastruktūros kontrolę. Norėdami gauti šiuos kredencialus, sukčiai naudoja „keyloggers“, sukčiavimo apsimetant išpuolius ir skverbties tikrinimo rinkinius, tokius kaip „Mimikatz“. Net tada, kai jie perima aukos tinklo kontrolę, sukčiai ne iš karto pradeda failų šifravimo etapą.
Šiuolaikinės išpirkos programų atakos apima įrankius, ieškančius vietinių ir debesinių atsarginių kopijų. Jei yra atsarginių kopijų, išpirkos programų operatoriai gali nukopijuoti duomenis į jų valdomus serverius ir vėliau panaudoti kitoms atakoms. Jie taip pat gali jį ištrinti, kad užtikrintų, jog auka neturi kitos galimybės, kaip tik sumokėti išpirką. Daugeliu atvejų debesyje saugomos atsarginės kopijos yra saugomos naudotojų vardais ir slaptažodžiais, tačiau dažnai jas galima pasiekti su administraciniais kredencialais, kuriuos sukčiai jau pavogė, todėl patekti į juos nėra problema.
„Ransomware“ operatoriai nori parodyti pasauliui, kokie jie gali būti pavojingi
Mes tikrai neturėtume stebėtis, kad „ransomware“ operatoriai gali gauti prieigą prie aukų atsarginių kopijų. Prieš keletą mėnesių saugumo ekspertai pastebėjo, kad kibernetiniai nusikaltėliai pradėjo vogti neskelbtinus įmonės duomenis prieš juos užšifruodami, ir buvo tik įprasta manyti, kad anksčiau ar vėliau jie pateks į ranką dėl kai kurių atsarginių kopijų.
Tačiau apie „Bleeping Computer“ parašytą išpuolį buvo šiek tiek keista, nes jo metu sukčiai nusprendė neištrinti atsarginių kopijų ir paliko savo auką jokiu būdu neatkurti duomenų nemokamai. Jie taip pat nebandė užsidirbti iš atsarginės informacijos pardavę ją pogrindinėse rinkose. Vietoj to, jie tiesiog patalpino ją viešoje svetainėje, kur visi galėjo prieiti.
„DopplePaymer“ operatoriai pasakojo „Bleeping Computer“, kad jie tai padarė norėdami parodyti pasauliui, kiek jie kontroliuoja aukų tinklus. Kitaip tariant, jie visiems sako, koks pavojingas gali būti jų išpuolis, ir jei viso incidento metu turėtume ieškoti sidabro pamušalo, turbūt sakytume, kad tai padidino įmonių galimybes pergalvoti atsarginę politiką.
Žmonės turi nustoti manyti, kad užtenka vienkartinės atsarginės kopijos, kad būtų užtikrintas sklandus atkūrimas įvykus išpirkos programinei įrangai. Jūs netgi galite teigti, kad, ypač kai kalbama apie verslo organizacijas, nėra tokio dalyko kaip sklandus atkūrimas. Vis dėlto tai nereiškia, kad atsarginės kopijos nėra svarbios. Tiesą sakant, aukščiau aprašyti incidentai, jei ką nors rodo, kad saugus duomenų atsarginių kopijų kūrimas yra ilgas procesas, reikalaujantis daug sprendimų priėmimo ir aukšto lygio dėmesio detalėms.
