Uw cloudback-ups kunnen het doelwit zijn van Ransomware-operators
We hebben eerder gezegd dat mensen en organisaties zich nu veel meer bewust zijn van de ransomware-bedreiging dan vroeger. Dit is een deel van de reden waarom, voor zover het statistieken betreft, bestandsversleutelende malware niet langer het grootste cybersecurity-probleem is voor thuisgebruikers. Het is echter nog steeds springlevend en dat komt omdat mensen blijven denken dat ze, zolang ze een back-up hebben, veilig zijn. Nieuwsnieuws over beveiliging Bleeping Computer merkte onlangs op dat dit soort gedachten zowel eindgebruikers als grote organisaties in een zeer slechte situatie kan brengen.
Table of Contents
Ransomware-operators bemoeien zich met cloudback-ups van slachtoffers
Bleeping Computer volgt al een tijdje de ontwikkelingen rond enterprise-targeting ransomware-families zoals DoppelPaymer en Maze. Vorige maand zag de nieuwswebsite het verschijnen van "Dopple-lekken" - een online portaal dat wordt beheerd en onderhouden door de bende DopplePaymer en die wordt gebruikt om de gevoelige informatie van organisaties die door de ransomware zijn getroffen bloot te leggen maar weigeren het losgeld te betalen.
Kort na de lancering van Dopple leaks, publiceerden de boeven de locatie en inloggegevens van een Veeam-cloudback-up die toebehoort aan een van de slachtoffers. Dit was een merkwaardige zet van de boeven en Bleeping Computer besloot contact met hen op te nemen om erachter te komen wat er aan de hand was.
Ransomware-aanvallen geven cybercriminelen volledige toegang tot de gegevens van een bedrijf, inclusief de back-ups
De nieuwswinkel kwam in contact met de bendes die de DoppplePaymer en Maze ransomware-families runden en vroegen hen hoe ze dergelijke inloggegevens in handen krijgen en waarom ze soms besluiten deze te publiceren. Het is niet verrassend dat de boeven niet teveel details wilden weggeven, maar ze gaven wel voldoende informatie om ons inzicht te geven in hoe ransomware-aanvallen die tegenwoordig op bedrijven zijn gericht, werken.
De hackers beginnen met het compromitteren van een enkel eindpunt met behulp van phishing, malware of een slecht geconfigureerde Remote Desktop Protocol-service. Het vergrendelen van de gegevens op een enkele computer kan soms behoorlijk verwoestend zijn, maar de boeven willen maximale schade garanderen, daarom proberen ze zich lateraal binnen het netwerk te verplaatsen. Het uiteindelijke doel is om beheerdersreferenties te extraheren die hen volledige controle geven over de IT-infrastructuur van het slachtoffer. Om deze gegevens te verkrijgen, gebruiken de boeven keyloggers, phishing-aanvallen en penetratietestkits zoals Mimikatz. Zelfs nadat ze de controle over het netwerk van het slachtoffer hebben overgenomen, gaan de boeven niet onmiddellijk verder met de fase van bestandscodering.
Moderne ransomware-aanvallen omvatten tools die zoeken naar lokale en cloudback-ups. Als er back-ups aanwezig zijn, kunnen de ransomware-exploitanten de gegevens kopiëren naar servers die zij beheren en deze later voor andere aanvallen gebruiken. Ze kunnen het ook verwijderen om ervoor te zorgen dat het slachtoffer geen andere optie heeft dan het losgeld te betalen. In veel gevallen worden back-ups die in de cloud zijn opgeslagen, beschermd door gebruikersnamen en wachtwoorden, maar vaak zijn ze toegankelijk met de beheerdersreferenties die de boeven al hebben gestolen, dus het is geen probleem om ze te bereiken.
Ransomware-operators willen de wereld laten zien hoe gevaarlijk ze kunnen zijn
We moeten niet echt verrast zijn door het feit dat ransomware-operators toegang kunnen krijgen tot back-ups van slachtoffers. Een paar maanden geleden merkten beveiligingsexperts dat cybercriminelen gevoelige bedrijfsgegevens begonnen te stelen voordat ze deze versleutelden, en het was normaal dat we ervan uitgaan dat ze vroeg of laat een aantal back-ups te pakken krijgen.
De aanval waar Bleeping Computer over schreef, was echter een beetje vreemd, omdat de boeven tijdens de aanval besloten de back-ups niet te verwijderen en hun slachtoffer geen mogelijkheid lieten om de gegevens gratis te herstellen. Ze deden ook geen pogingen om de back-upinformatie te gelde te maken door deze op de ondergrondse markten te verkopen. In plaats daarvan hebben ze het gewoon op een openbare website geplaatst waar iedereen er toegang toe heeft.
De operators van DopplePaymer vertelden Bleeping Computer dat ze dit deden om de wereld te laten zien hoeveel controle ze hebben over de netwerken van de slachtoffers. Met andere woorden, ze vertellen iedereen hoe gevaarlijk hun aanvallen kunnen zijn, en als we moeten zoeken naar de zilveren rand van het hele incident, zouden we waarschijnlijk zeggen dat het de kansen heeft vergroot dat bedrijven hun back-upbeleid heroverwegen.
Mensen moeten ervan uitgaan dat een enkele back-up voldoende is om naadloos herstel te verzekeren na een ransomware-aanval. Je zou zelfs kunnen stellen dat, vooral als het gaat om bedrijfsorganisaties, er niet zoiets bestaat als een naadloos herstel. Dit betekent echter niet dat back-ups niet belangrijk zijn. Incidenten zoals hierboven beschreven, laten in feite zien dat een veilige back-up van gegevens een langdurig proces is dat veel besluitvorming en veel aandacht voor detail vereist.
