Dina molnsäkerhetskopior kan vara målet för Ransomware-operatörer
Vi har nämnt tidigare att människor och organisationer nu är mycket mer medvetna om ransomware hotet än de brukade vara. Detta är en del av anledningen till att filkrypterande skadlig kod, åtminstone vad gäller statistiken, inte längre är det största cybersäkerhetsproblemet för hemanvändare. Den lever dock fortfarande och sparkar, och det beror på att människor fortsätter att tänka att så länge de har säkerhetskopieringar är de säkra. Nyhetsuttaget för säkerhet Bleeping Computer noterade nyligen att denna typ av tänkande skulle kunna sätta både slutanvändare och stora organisationer i en mycket dålig situation.
Table of Contents
Ransomware-operatörer blandar sig med offerets molnbackup
Bleeping Computer har följt utvecklingen kring ransomware-familjer som DoppelPaymer och Maze sedan ett tag nu. Förra månaden såg nyhetswebbplatsen ut "Dopple-läckor" - en onlineportal som drivs och underhålls av DopplePaymer-gänget som används för att avslöja känslig information från organisationer som har drabbats av ransomware men vägrar att betala lösen.
Strax efter lanseringen av Dopple-läckor publicerade skurkarna platsen och inloggningsuppgifterna för en Veeam-molnbackup som tillhör ett av offren. Detta var en nyfiken rörelse från skurkarna och Bleeping Computer beslutade att kontakta dem för att ta reda på vad som händer.
Ransomware-attacker ger cyberbrottslingar fullständig tillgång till ett företags data, inklusive dess säkerhetskopior
Nyhetsuttaget kom i kontakt med gäng som driver DoppplePaymer- och Maze-ransomware-familjerna och frågade dem hur de får tag på sådana inloggningsdata och varför de ibland beslutar att publicera den. Inte överraskande ville skurkarna inte ge bort för många detaljer, men de gav tillräckligt med information för att ge oss en inblick i hur ransomware-attacker riktade mot företag fungerar idag.
Hackarna börjar med att kompromissa med en enda slutpunkt med användning av phishing, malware eller en dåligt konfigurerad Remote Desktop Protocol-tjänst. Att låsa uppgifterna på en enda dator kan vara ganska förödande ibland, men skurkarna vill säkerställa maximal skada, varför de sedan försöker röra sig i nätverket. Det slutliga målet är att extrahera administratörsuppgifter som ger dem full kontroll över offrets IT-infrastruktur. För att få dessa referenser använder skurkarna keyloggers, phishing-attacker och penetrationstestsatser som Mimikatz. Även efter att de har tagit kontroll över offrets nätverk, fortsätter skurkarna inte omedelbart med filkrypteringsstadiet.
Moderna ransomware-attacker involverar verktyg som letar efter lokala och molniga säkerhetskopior. Om det finns säkerhetskopieringar kan operatörerna för ransomware kopiera informationen till servrar som kontrolleras av dem och använda dem för andra attacker senare. De kan också ta bort det för att se till att offret inte har något annat alternativ än att betala lösen. I många fall är säkerhetskopior lagrade i molnet skyddade av användarnamn och lösenord, men ofta är de tillgängliga med de administrativa referenser som skurkarna redan har stulit, så att komma till dem är inte ett problem.
Ransomware-operatörer vill visa världen hur farliga de kan vara
Vi borde inte bli förvånade över det faktum att ransomware-operatörer kan få tillgång till offrens säkerhetskopior. För några månader sedan märkte säkerhetsexperter att cyberbrottslingar började stjäla känsliga företagsuppgifter innan de krypterade dem, och det var bara normalt att anta att de förr eller senare kommer att få tag på några säkerhetskopior.
Attacken som Bleeping Computer skrev om var lite konstig, emellertid eftersom skurkarna under den bestämde sig för att inte ta bort säkerhetskopiorna och lämna sitt offer utan något sätt att återställa data gratis. De gjorde inte heller några försök att tjäna pengar på den säkerhetskopierade informationen genom att sälja den på de underjordiska marknaderna. Istället lägger de bara på en offentlig webbplats där vem som helst kan komma åt den.
DopplePaymers operatörer berättade för Bleeping Computer att de gjorde detta för att visa världen hur mycket kontroll de har över offrens nätverk. Med andra ord, de berättar för alla hur farliga deras attacker kan vara, och om vi måste leta efter silverfodret under hela incidenten, skulle vi förmodligen säga att det har ökat chanserna för företag att tänka över sin backup-politik.
Människor måste sluta anta att en enda säkerhetskopia är tillräcklig för att säkerställa sömlös återhämtning till följd av en ransomware-attack. Du kan till och med hävda att det inte finns något som en sömlös återhämtning, särskilt när det gäller affärsorganisationer. Detta betyder dock inte att säkerhetskopior inte är viktiga. I själva verket visar händelser som ovan beskrivits att säker säkerhetskopiering av data är en lång process som involverar mycket beslutsfattande och hög uppmärksamhet på detaljer.
