Ваши облачные резервные копии могут быть целью операторов вымогателей
Мы уже упоминали, что люди и организации теперь гораздо больше осведомлены об угрозе вымогателей, чем раньше. Это одна из причин того, почему, по крайней мере, что касается статистики, вредоносные программы с шифрованием файлов больше не являются самой большой проблемой кибербезопасности для домашних пользователей. Тем не менее, он все еще жив и здоров, и это потому, что люди продолжают думать, что, пока у них есть резервные копии, они в безопасности. Информационное агентство по безопасности Bleeping Computer недавно отметило, что подобное мышление может поставить как конечных пользователей, так и крупные организации в очень плохую ситуацию.
Table of Contents
Операторы-вымогатели вмешиваются в создание облачных резервных копий жертв
Bleeping Computer уже давно следит за развитием событий вокруг семейства вымогателей, ориентированных на предприятия, таких как DoppelPaymer и Maze. В прошлом месяце сайт новостей увидел появление «Dopple утечек» - интернет - портал пробега и поддерживается DopplePaymer банды, которая используется для предоставления конфиденциальной информации организаций, которые пострадали от вымогателей, но отказываются платить выкуп.
Вскоре после запуска утечки Dopple мошенники опубликовали местоположение и учетные данные для входа в облачную резервную копию Veeam, принадлежащую одной из жертв. Это было любопытное движение со стороны мошенников, и Bleeping Computer решил связаться с ними, чтобы узнать, что происходит.
Атаки на вымогателей дают киберпреступникам полный доступ к данным компании, включая ее резервные копии
Выпуск новостей связался с бандами, управляющими семьями-вымогателями DoppplePaymer и Maze, и спросил их, как они получают такие регистрационные данные и почему иногда решают их опубликовать. Неудивительно, что мошенники не хотели раскрывать слишком много деталей, но они предоставили достаточно информации, чтобы дать нам представление о том, как в наши дни работают атаки с использованием вымогателей, направленные на предприятия.
Хакеры начинают с компрометации одной конечной точки, используя фишинг, вредоносное ПО или плохо настроенную службу протокола удаленного рабочего стола. Блокировка данных на одном компьютере иногда может быть довольно разрушительной, но мошенники хотят обеспечить максимальный ущерб, поэтому они затем пытаются перемещаться в боковом направлении внутри сети. Конечная цель - извлечь учетные данные администратора, которые дают им полный контроль над ИТ-инфраструктурой жертвы. Чтобы получить эти учетные данные, мошенники используют кейлоггеры, фишинговые атаки и наборы для тестирования на проникновение, такие как Mimikatz. Даже после того, как они принимают контроль над сетью жертвы, мошенники не сразу переходят к этапу шифрования файла.
Современные атаки вымогателей включают инструменты, которые ищут локальные и облачные резервные копии. При наличии резервных копий операторы-вымогатели могут копировать данные на управляемые ими серверы и впоследствии использовать их для других атак. Они также могут удалить его, чтобы у жертвы не было другого выбора, кроме как заплатить выкуп. Во многих случаях резервные копии, хранящиеся в облаке, защищены именами пользователей и паролями, но часто они доступны с учетными данными администратора, которые мошенники уже украли, поэтому получить к ним доступ не составляет труда.
Операторы-вымогатели хотят показать миру, насколько опасными они могут быть
Мы не должны удивляться тому факту, что операторы-вымогатели могут получить доступ к резервным копиям жертв. Несколько месяцев назад эксперты по безопасности заметили, что киберпреступники начали кражу конфиденциальных данных компании перед их шифрованием, и было нормально предположить, что рано или поздно они получат в свои руки некоторые резервные копии.
Атака, о которой писал Bleeping Computer, была несколько странной, поскольку во время нее мошенники решили не удалять резервные копии и не оставляли своей жертве никакой возможности бесплатно восстановить данные. Они также не пытались монетизировать резервную информацию, продавая ее на подпольных рынках. Вместо этого они просто размещают его на общедоступном веб-сайте, где любой может получить к нему доступ.
Операторы DopplePaymer сообщили Bleeping Computer, что они сделали это, чтобы показать миру, насколько они контролируют сети жертв. Другими словами, они рассказывают всем, насколько опасными могут быть их атаки, и если бы нам пришлось искать серебряную накладку во всем инциденте, мы, вероятно, сказали бы, что это повысило шансы компаний пересмотреть свою политику резервного копирования.
Люди должны перестать предполагать, что одной резервной копии достаточно для обеспечения бесперебойного восстановления после атаки вымогателей. Можно даже утверждать, что, особенно когда речь идет о бизнес-организациях, не существует такого понятия, как плавное восстановление. Это не значит, что резервные копии не важны. На самом деле, во всяком случае, инциденты, подобные описанному выше, показывают, что надежное резервное копирование данных - это длительный процесс, требующий большого количества принятия решений и высокого уровня внимания к деталям.
