您的云备份可能成为勒索软件运营商的目标

Ransomware Operators Target Cloud Backups

我们之前已经提到,人们和组织现在比过去更加了解勒索软件的威胁。这就是为什么至少就统计数据而言,文件加密恶意软件不再是家庭用户最大的网络安全问题的部分原因。但是,它仍然活着而且可以踢,这是因为人们继续认为只要有备份就可以安全。安全新闻媒体Bleeping Computer最近指出,这种想法可能会使最终用户和大型组织处于非常糟糕的境地。

勒索软件运营商正在干预受害者的云备份

一段时间以来,Bleeping Computer一直在关注针对企业的勒索软件系列的发展,例如DoppelPaymer和Maze。上个月,新闻网站看到了 “多普勒泄漏”的出现-一个在线门户网站的运行和用来揭露那些被勒索命中,但被拒绝支付赎金组织的敏感信息DopplePaymer团伙维持。

在Dopple漏洞发布之后不久,骗子发布了属于受害者之一的Veeam云备份的位置和登录凭据。这对骗子来说是个奇怪的举动, Bleeping Computer决定与他们联系以查明发生了什么。

勒索软件攻击使网络罪犯可以完全访问公司的数据,包括其备份

该新闻媒体与经营DoppplePaymer和Maze勒索软件系列的团伙保持联系,并询问他们如何获取此类登录数据以及为何有时决定发布该登录数据。毫不奇怪,骗子们不想透露太多的细节,但是他们确实提供了足够的信息,使我们能够洞悉针对企业的勒索软件攻击如何在如今起作用。

黑客首先使用网络钓鱼,恶意软件或配置不当的远程桌面协议服务破坏单个端点。将数据锁定在单台计算机上有时可能会造成巨大的破坏,但是骗子们想要确保最大程度的破坏,这就是为什么他们然后尝试在网络内横向移动的原因。最终目标是提取管理员凭据,使他们可以完全控制受害者的IT基础结构。为了获得这些凭据,骗子使用键盘记录程序,网络钓鱼攻击和渗透测试工具包(例如Mimikatz)。即使骗子控制了受害者的网络,骗子也不会立即进入文件加密阶段。

现代勒索软件攻击涉及寻找本地和云备份的工具。如果存在备份,勒索软件操作员可以将数据复制到由他们控制的服务器上,以后再用于其他攻击。他们还可以删除它,以确保受害者除了支付赎金外别无选择。在许多情况下,存储在云中的备份受到用户名和密码的保护,但是通常,可以使用骗子已经窃取的管理凭据来访问这些备份,因此获取备份不是问题。

勒索软件运营商希望向世界展示他们可能有多危险

勒索软件操作员可以访问受害者的备份,我们对此并不感到惊讶。几个月前,安全专家注意到,网络罪犯开始在加密之前先窃取公司的敏感数据,并且通常认为早晚要获得一些备份是正常的。

但是,Bleeping Computer编写的攻击有点奇怪,因为在此期间,骗子决定不删除备份,并让受害者无法免费恢复数据。他们也没有尝试通过在地下市场上出售备份信息来货币化。相反,他们只是将其放在公共网站上,任何人都可以访问它。

DopplePaymer的运营商告诉Bleeping Computer,他们这样做是为了向全世界展示他们对受害者网络的控制权。换句话说,他们告诉每个人攻击的危险性,如果我们在整个事件中都要寻找一线希望,我们可能会说这增加了公司重新考虑其备份策略的机会。

人们必须停止假设单个备份足以确保在勒索软件攻击后进行无缝恢复。您甚至可能会争辩说,尤其是涉及业务组织时,没有无缝恢复之类的东西。不过,这并不意味着备份并不重要。实际上,如果发生任何事件,例如上述事件表明安全备份数据是一个漫长的过程,其中涉及很多决策和对细节的高度关注。

March 4, 2020
正在加载...

Cyclonis Backup Details & Terms

免费的基本 Cyclonis 备份计划为您提供 2 GB 的云存储空间和完整的功能!无需信用卡。需要更多存储空间?立即购买更大的 Cyclonis 备份计划!要详细了解我们的政策和定价,请参阅服务条款隐私政策折扣条款购买页面。如果您想卸载应用程序,请访问卸载说明页面。

Cyclonis Password Manager Details & Terms

免费试用:30 天一次性优惠!免费试用不需要信用卡。免费试用期间的全部功能。 (免费试用后的完整功能需要订阅购买。)要了解有关我们的政策和定价的更多信息,请参阅EULA隐私政策折扣条款购买页面。如果您想卸载应用程序,请访问卸载说明页面。