Uniklé informace patřily pochopitelně obětem, které odmítly tvůrcům ransomwaru zaplatit…
Jejich cílem sice nebylo zpřístupnit údaje ostatním útočníkům, aby mohli postižené uživatele podrobit dalšímu útoku, ale zveřejnění přihlašovacích informací sloužilo jako varování obětem – že autoři ransomwaru měli plný přístup k jejich síti včetně záloh. Veeam přitom dodává jeden z nejoblíbenějších produktů podnikového zálohování. Rozhodně to však není jediný systém, který je v ohrožení…
Útočníci nejprve zacílí na zálohy, ze kterých ukradnou vaše data
Během ransomwarových útoků napadnou hackeři jednotlivé hostitele pomocí phishingu, malwaru nebo skrze exponované služby vzdálené plochy. Jakmile získají přístup k počítači, laterálně se rozšiřují po síti, dokud se nepropracují k přihlašovacím údajům správce a doménovému řadiči (domain controller). Pak pomocí nástrojů, jako je Mimikatz, odcizí přihlašovací jméno a heslo z databáze Active Directory. To může zároveň zpřístupnit útočníkům i zálohovací software, protože někteří správci konfigurují software od Veeamu tak, aby používal autentizaci Windows. Když k softwaru získá přístup například Maze Ransomware a zjistí, že v cloudu jsou uložené zálohy, pokusí se ukrást přístupy ke cloudovému úložišti. Poté obnoví data obětí na servery, které jsou pod kontrolou útočníků.
Hackeři jednoduše stáhnou veškerá data. Nemusí přitom hledat citlivé informace, protože ty jsou téměř jistě obsažené v zálohách. Vzhledem k tomu, že útočníci obnovují data přímo z cloudu na své servery, nevznikne žádné podezření. Majitel dat není upozorněn na případné nebezpečí, protože servery útočníků pracují normálně, aniž by byly v zálohovacím softwaru vytvářeny jakékoliv logy.
Jak se útočníci dostávají k přístupovým údajům ke cloudu? Autoři DoppelPaymer se netají tím, že nasazují všechny možné metody, mezi nimi pravděpodobně keyloggery, phishingové útoky a v neposlední řadě pomáhá i pročítání uložených souborů na zálohovacích serverech.
Před nasazením ransomwaru dojde ke smazání záloh
Nezáleží na tom, jestli budou vaše soubory zneužity k odcizení dat nebo ne. Útočníci před tím, než zašifrují zařízení, nejprve odstraní zálohy, aby je oběti nemohly použít k obnovení svých šifrovaných souborů. Tvůrci DoppelPaymer se na základě svých zkušeností domnívají, že cloudové zálohy nemusí být 100% účinnou ochranou před ransomwarem.
Zálohování na cloudu vás leckdy uchrání před situací, kdy byste se museli rozhodovat, zda zaplatit výkupné. Zálohy ale nebývají vždycky dobře nakonfigurované, a naopak offline zálohování může být zastaralé. A faktor lidské chyby neustále vytváří úrodnou půdu pro hackery.
Když jsou oběti odcizena data a veškeré zálohy smazány, útočníci nasadí svůj ransomware do kompromitované sítě pomocí nástroje PSExec nebo PowerShell Empire – k tomu dochází většinou v méně vytížených hodinách či mimo pracovní dobu společnosti.
Jak ochránit své zálohy?
Jakmile získá útočník privilegovaný přístup k síti, nezáleží na tom, jaký software používáte – riskujete všechno. Veeam doporučuje oddělovat účty pro instalace a komponenty, dále by společnosti měly při konfiguraci záloh dodržovat pravidlo 3-2-1, aby zbytečně nedávaly útočníkům do rukou zbraň. Pravidlo 3-2-1 říká, že uživatel má mít alespoň tři zálohy svých dat, ty se ukládají na dvě různá média a jedna záloha musí být umístěna mimo pracoviště či budovu, kde se nachází ostatní kopie.
Ať už jde o extrémně odolná data, jako jsou S3 neměnitelné cloudové zálohy, šifrované zálohy na páskových úložištích nebo šifrované zálohy na vyměnitelném offline úložišti – lidé zkrátka musí pořizovat několik kopií svých dat. Jen tak se ochráníte před všemožnými scénáři, včetně toho ransomwarového.
Zvažte ještě, jestli nepořídit neměnné úložiště nebo nadstandardní ochranu pro své úložiště. V prvním případě budou sice informace vymazány u poskytovatele cloudového úložiště, ale aktivovaná služba neměnného úložiště zajistí, že data budou po určitou dobu obnovitelná. Nejlepším řešením, jak zabránit exfiltraci dat, je znemožnit útočníkům přístup do vaší sítě a pravidelné monitorování neobvyklých aktivit; k tomu slouží například software pro monitorování sítě nebo systémy detekce odhalení průniku a narušení.