Seus backups em nuvem podem ser o alvo dos operadores de Ransomware

Ransomware Operators Target Cloud Backups

Mencionamos antes que as pessoas e as organizações agora estão muito mais conscientes da ameaça do ransomware do que costumavam estar. Isso é parte do motivo pelo qual, pelo menos no que diz respeito às estatísticas, o malware com criptografia de arquivos não é mais o maior problema de segurança cibernética para usuários domésticos. Ainda está vivo e chutando, no entanto, e isso ocorre porque as pessoas continuam pensando que, desde que tenham backups, elas estão seguras. A agência de notícias sobre segurança Bleeping Computer observou recentemente que esse tipo de pensamento pode colocar os usuários finais e as grandes organizações em uma situação muito ruim.

Os operadores de ransomware estão interferindo nos backups em nuvem das vítimas

A Bleeping Computer acompanha os desenvolvimentos em torno de famílias de ransomware voltadas para empresas, como o DoppelPaymer e o Maze há um tempo. No mês passado, o site de notícias viu o surgimento de "vazamentos de Dopple" - um portal on-line executado e mantido pela gangue DopplePaymer que é usada para expor as informações confidenciais de organizações que foram atingidas pelo ransomware, mas estão se recusando a pagar o resgate.

Logo após o lançamento do Dopple, os criminosos publicaram as credenciais de localização e login de um backup em nuvem da Veeam que pertence a uma das vítimas. Foi uma jogada curiosa da parte dos bandidos, e a Bleeping Computer decidiu contatá-los para descobrir o que estava acontecendo.

Os ataques de ransomware dão aos cibercriminosos acesso completo aos dados de uma empresa, incluindo seus backups

A agência de notícias entrou em contato com as gangues que operam as famílias de ransomware DoppplePaymer e Maze e perguntou como eles conseguiam esses dados de login e por que às vezes decidem publicá-los. Não é de surpreender que os criminosos não quisessem revelar muitos detalhes, mas forneceram informações suficientes para nos dar uma ideia de como os ataques de ransomware voltados para as empresas funcionam atualmente.

Os hackers começam comprometendo um único ponto de extremidade usando phishing, malware ou um serviço de Remote Desktop Protocol mal configurado. Às vezes, bloquear os dados em um único computador pode ser bastante devastador, mas os criminosos querem garantir o máximo de danos, e é por isso que tentam se mover lateralmente na rede. O objetivo final é extrair credenciais de administrador que lhes dê controle total sobre a infraestrutura de TI da vítima. Para obter essas credenciais, os criminosos usam keyloggers, ataques de phishing e kits de teste de penetração como o Mimikatz. Mesmo depois de assumirem o controle sobre a rede da vítima, os criminosos não prosseguem imediatamente com o estágio de criptografia de arquivos.

Os ataques modernos de ransomware envolvem ferramentas que procuram backups locais e na nuvem. Se houver backups, os operadores de ransomware podem copiar os dados para servidores controlados por eles e usá-los para outros ataques posteriormente. Eles também podem excluí-lo para garantir que a vítima não tenha outra opção senão pagar o resgate. Em muitos casos, os backups armazenados na nuvem são protegidos por nomes de usuário e senhas, mas geralmente são acessíveis com as credenciais administrativas que os criminosos já roubaram, portanto, acessá-los não é um problema.

Os operadores de ransomware querem mostrar ao mundo o quão perigoso eles podem ser

Não devemos nos surpreender com o fato de os operadores de ransomware terem acesso aos backups das vítimas. Alguns meses atrás, os especialistas em segurança notaram que os cibercriminosos começaram a roubar dados confidenciais da empresa antes de criptografá-los, e era normal presumir que, mais cedo ou mais tarde, eles colocariam suas mãos em alguns backups.

No entanto, o ataque sobre o qual a Bleeping Computer escreveu foi um pouco estranho, porque, durante o processo, os criminosos decidiram não excluir os backups e deixar a vítima sem maneira de restaurar os dados gratuitamente. Eles também não fizeram nenhuma tentativa de monetizar as informações de backup vendendo-as nos mercados subterrâneos. Em vez disso, eles apenas o colocam em um site público onde qualquer pessoa pode acessá-lo.

Os operadores do DopplePaymer disseram à Bleeping Computer que eles fizeram isso para mostrar ao mundo quanto controle eles têm sobre as redes das vítimas. Em outras palavras, eles estão dizendo a todos o quão perigoso seus ataques podem ser e, se tivermos que procurar o lado positivo durante todo o incidente, provavelmente diríamos que isso aumentou as chances de as empresas repensarem suas políticas de backup.

As pessoas devem parar de supor que um único backup é suficiente para garantir a recuperação perfeita após um ataque de ransomware. Você pode até argumentar que, especialmente quando se trata de organizações empresariais, não existe uma recuperação perfeita. Isso não significa que os backups não sejam importantes. De fato, incidentes como o descrito acima mostram que o backup seguro dos dados é um processo demorado que envolve muitas tomadas de decisão e um alto nível de atenção aos detalhes.

March 4, 2020
Carregando…

Detalhes e Termos de Backup do Cyclonis

O plano Básico do Backup Gratuito do Cyclonis oferece 2 GB de espaço de armazenamento na nuvem com funcionalidade total! Não é necessário cartão de crédito. Precisa de mais espaço de armazenamento? Compre um plano maior do Backup do Cyclonios agora! Para saber mais sobre nossas políticas e preços, consulte os Termos de Serviço, Política de Privacidade, os Termos de Desconto e a Página de Compra. Se você deseja desinstalar o aplicativo, visite a página Instruções de Desinstalação.

Detalhes e Termos do Gerenciador de Senhas do Cyclonis

Teste GRATUITO: Oferta Única de 30 Dias! Nenhum cartão de crédito será necessário para o teste gratuito. Funcionalidade completa durante o período de avaliação gratuita. (A funcionalidade completa após a Avaliação Gratuita requer a compra deaassinatura.) Para saber mais sobre nossas políticas e preços, consulte o CLUF, a Política de Privacidade, os Termos de Desconto e a Página de Compra. Se você deseja desinstalar o aplicativo, visite a página Instruções de Desinstalação.