Twoje kopie zapasowe w chmurze mogą być celem operatorów ransomware
Wspominaliśmy wcześniej, że ludzie i organizacje są teraz znacznie bardziej świadome zagrożenia ransomware niż kiedyś. Jest to jeden z powodów, dla których przynajmniej jeśli chodzi o statystyki, złośliwe oprogramowanie szyfrujące pliki nie jest już największym problemem cyberbezpieczeństwa dla użytkowników domowych. Jednak wciąż żyje i kopie, a to dlatego, że ludzie nadal myślą, że dopóki mają kopie zapasowe, są bezpieczni. Serwis informacyjny o bezpieczeństwie Bleeping Computer zauważył niedawno, że tego rodzaju myślenie może postawić zarówno użytkowników końcowych, jak i duże organizacje w bardzo złej sytuacji.
Table of Contents
Operatorzy ransomware wtrącają się w kopie zapasowe chmury ofiar
Bleeping Computer od dłuższego czasu śledzi rozwój rodzin ransomware ukierunkowanych na przedsiębiorstwa, takich jak DoppelPaymer i Maze. W ubiegłym miesiącu serwis zobaczył wygląd „przecieków dopple” - internetowego metę wrotnej i utrzymywane przez gang DopplePaymer, który jest używany w celu odsłonięcia wrażliwych informacji organizacji, które zostały dotknięte przez szkodnika, ale nie chcą płacić okup.
Krótko po uruchomieniu przecieków Dopple, oszuści opublikowali lokalizację i dane logowania do kopii zapasowej chmury Veeam należącej do jednej z ofiar. To był dziwny ruch ze strony oszustów i Bleeping Computer postanowił się z nimi skontaktować, aby dowiedzieć się, co się dzieje.
Ataki ransomware zapewniają cyberprzestępcom pełny dostęp do danych firmy, w tym jej kopii zapasowych
Serwis informacyjny skontaktował się z gangami zarządzającymi rodzinami ransomware DoppplePaymer i Maze i zapytał, w jaki sposób zdobywają takie dane logowania i dlaczego czasami decydują się je opublikować. Nic dziwnego, że oszuści nie chcieli zdradzać zbyt wielu szczegółów, ale dostarczyli wystarczających informacji, aby dać nam wgląd w to, jak w dzisiejszych czasach działają ataki ransomware na przedsiębiorstwa.
Hakerzy zaczynają od naruszenia jednego punktu końcowego przy użyciu phishingu, złośliwego oprogramowania lub źle skonfigurowanej usługi protokołu pulpitu zdalnego. Zablokowanie danych na jednym komputerze może czasem być dość niszczycielskie, ale oszuści chcą zapewnić maksymalne szkody, dlatego starają się następnie poruszać w obrębie sieci. Ostatecznym celem jest uzyskanie poświadczeń administratora, które dają im pełną kontrolę nad infrastrukturą IT ofiary. Aby uzyskać te dane, oszuści używają keyloggerów, ataków phishingowych i zestawów testujących penetrację, takich jak Mimikatz. Nawet po przejęciu kontroli nad siecią ofiary przestępcy nie rozpoczynają od razu etapu szyfrowania plików.
Nowoczesne ataki ransomware obejmują narzędzia, które szukają kopii lokalnych i chmurowych. Jeśli istnieją kopie zapasowe, operatorzy oprogramowania ransomware mogą kopiować dane na kontrolowane przez nich serwery i wykorzystywać je do innych ataków w późniejszym czasie. Mogą również usunąć go, aby upewnić się, że ofiara nie ma innej możliwości, jak zapłacić okup. W wielu przypadkach kopie zapasowe przechowywane w chmurze są chronione nazwami użytkowników i hasłami, ale często są one dostępne przy użyciu poświadczeń administracyjnych, które oszuści już ukradli, więc dotarcie do nich nie stanowi problemu.
Operatorzy oprogramowania ransomware chcą pokazać światu, jak niebezpieczni mogą być
Nie powinno nas to dziwić, że operatorzy oprogramowania ransomware mogą uzyskać dostęp do kopii zapasowych ofiar. Kilka miesięcy temu eksperci ds. Bezpieczeństwa zauważyli, że cyberprzestępcy zaczęli kraść poufne dane firmy przed ich zaszyfrowaniem, a normalne było zakładanie, że prędzej czy później dostaną kopie zapasowe.
Atak, o którym pisał Bleeping Computer, był jednak nieco dziwny, ponieważ w trakcie tego oszustów postanowiono nie usuwać kopii zapasowych i pozostawić ofierze bez możliwości przywrócenia danych za darmo. Nie próbowali też zarabiać na kopii zapasowej informacji, sprzedając ją na podziemnych rynkach. Zamiast tego po prostu umieścili go na publicznej stronie internetowej, gdzie każdy mógł uzyskać do niego dostęp.
Operatorzy DopplePaymer powiedzieli Bleeping Computer, że zrobili to, aby pokazać światu, ile mają kontroli nad sieciami ofiar. Innymi słowy, mówią wszystkim, jak niebezpieczne mogą być ich ataki, a jeśli będziemy musieli szukać srebrnej podszewki w całym incydencie, prawdopodobnie powiedzielibyśmy, że zwiększyło to szanse firm na przemyślenie polityki tworzenia kopii zapasowych.
Ludzie muszą przestać zakładać, że wystarczy jedna kopia zapasowa, aby zapewnić bezproblemowe odzyskiwanie po ataku ransomware. Można nawet argumentować, że zwłaszcza w przypadku organizacji biznesowych nie ma czegoś takiego jak płynne odzyskiwanie. Nie oznacza to jednak, że kopie zapasowe nie są ważne. W rzeczywistości incydenty takie jak opisany powyżej pokazują, że bezpieczne tworzenie kopii zapasowych danych jest długim procesem, który wymaga wielu decyzji i dużej dbałości o szczegóły.
