Cloud-sikkerhetskopiene dine kan være målet for Ransomware-operatører
Vi har nevnt før at mennesker og organisasjoner nå er mye mer bevisste på løsningen trusselen enn de pleide å være. Dette er en del av grunnen til at filkryptering av skadelig programvare, i det minste for statistikkene, ikke lenger er det største cybersecurity-problemet for hjemmebrukere. Det er fremdeles i live og sparkende, og det er fordi folk fortsetter å tro at så lenge de har sikkerhetskopier, er de trygge. Sikkerhetsnyhetsutsalg Bleeping Computer bemerket nylig at denne typen tanker kunne sette både sluttbrukere og store organisasjoner i en veldig dårlig situasjon.
Table of Contents
Ransomware-operatører blander seg med ofrenes sky-sikkerhetskopi
Bleeping Computer har fulgt utviklingen rundt ransomware-familier som DoppelPaymer og Maze for bedriftsmålrettet en stund nå. I forrige måned nyhetene nettsiden så utseendet på "dopple lekkasjer" - en online portal kjøre og vedlikeholdt av DopplePaymer gjengen som brukes til å avsløre sensitiv informasjon fra organisasjoner som har blitt rammet av ransomware, men nekter å betale løse.
Rett etter lanseringen av Dopple-lekkasjer publiserte skurkene plasseringen og innloggingsinformasjon på en Veeam-sky-sikkerhetskopi som tilhører et av ofrene. Dette var et merkelig trekk fra skurkenes side, og Bleeping Computer bestemte seg for å kontakte dem for å finne ut hva som skjer.
Ransomware-angrep gir nettkriminelle full tilgang til selskapets data, inkludert sikkerhetskopier av det
Nyhetsutsalget fikk kontakt med gjengene som drev ransomware-familiene DoppplePaymer og Maze og spurte dem hvordan de får tak i slike innloggingsdata og hvorfor de noen ganger bestemmer seg for å publisere dem. Ikke overraskende ønsket ikke skurkene å gi bort for mange detaljer, men de ga nok informasjon til å gi oss et innblikk i hvordan ransomware-angrep rettet mot bedrifter fungerer i disse dager.
Hackerne starter med å kompromittere et enkelt sluttpunkt ved å bruke phishing, malware eller en dårlig konfigurert Remote Desktop Protocol-tjeneste. Å låse dataene på en enkelt datamaskin kan være ganske ødeleggende noen ganger, men skurkene ønsker å sikre maksimal skade, og det er derfor de prøver å bevege seg sideveis i nettverket. Det endelige målet er å hente ut administratorbevis som gir dem full kontroll over offerets IT-infrastruktur. For å få disse opplysningene bruker kjeltringene keyloggers, phishing-angrep og tester for penetrasjonstesting som Mimikatz. Selv etter at de overtar kontrollen over offerets nettverk, fortsetter ikke skurkene med filkrypteringstrinnet.
Moderne ransomware-angrep involverer verktøy som ser etter lokale sikkerhetskopier og sky-sikkerhetskopier. Hvis sikkerhetskopier er til stede, kan ransomware-operatørene kopiere dataene til servere som kontrolleres av dem og bruke dem til andre angrep senere. De kan også slette den for å sikre at offeret ikke har noe annet alternativ enn å betale løsepenger. I mange tilfeller er sikkerhetskopier som er lagret i skyen beskyttet av brukernavn og passord, men ofte er de tilgjengelige med den administrative legitimasjonen krokene allerede har stjålet, så det er ikke noe problem å komme til dem.
Ransomware-operatører ønsker å vise verden hvor farlige de kan være
Vi burde egentlig ikke bli overrasket over at ransomware-operatører kan få tilgang til ofrenes sikkerhetskopieringer. For noen måneder siden la sikkerhetseksperter merke til at nettkriminelle begynte å stjele sensitive firmadata før de krypterte dem, og det var bare normalt å anta at de før eller siden vil få tak i noen sikkerhetskopier.
Angrepet Bleeping Computer skrev om var imidlertid litt rart, for i løpet av det bestemte kjeltringene seg for å ikke slette sikkerhetskopiene og la ikke offeret deres noen måte å gjenopprette dataene gratis. De gjorde heller ingen forsøk på å tjene penger på den sikkerhetskopierte informasjonen ved å selge den på underjordiske markeder. I stedet legger de det bare på et offentlig nettsted der alle kunne få tilgang til det.
DopplePaymers operatører sa til Bleeping Computer at de gjorde dette for å vise verden hvor mye kontroll de har over ofrenes nettverk. Med andre ord, de forteller alle hvor farlige angrepene deres kan være, og hvis vi må se etter sølvforet i hele hendelsen, vil vi sannsynligvis si at det har økt sjansene for at selskaper vurderer sin sikkerhetskopi.
Folk må slutte å anta at en enkelt sikkerhetskopi er nok til å sikre sømløs gjenoppretting i kjølvannet av et ransomware-angrep. Du kan til og med hevde at det, spesielt når det gjelder forretningsorganisasjoner, ikke er noe sånt som en sømløs utvinning. Dette betyr ikke at sikkerhetskopier ikke er viktig. Faktisk, hvis noe, viser hendelser som de som er beskrevet over at sikker sikkerhetskopiering av data er en lang prosess som involverer mye beslutninger og høy grad av oppmerksomhet på detaljer.
