مهاجمان باج افزار از پشتیبان گیری برای اطمینان از پرداخت باج به قربانیان استفاده می کنند

webiyan مارس 5, 2020 0 Comments
مهاجمان باج افزار از پشتیبان گیری برای اطمینان از پرداخت باج به قربانیان استفاده می کنند

پشتیبان گیری مهمترین دفاع در برابر باج افزار است. با این حال ، مهاجمان باج افزار از پشتیبان گیری های پیکربندی شده اشتباه برای سرقت اطلاعات قربانیان استفاده می کنند. مرکز امنیت سایبری ملی انگلیس (NCSC) هفته گذشته دستورالعمل های پشتیبان خود را به منظور کمک به سازمانها برای کاهش حملات باج افزارهای نرم افزاری به روز کرد.

مهاجمان از Backup ها برای سرقت داده استفاده می کنند

معمولاً قبل از بازیگران مخرب سیستم های قربانی را رمزگذاری می کنند. آنها داده های حساس شغلی را سرقت می کنند. اطلاعات سرقت شده پس از آن برای باج دادن به قربانی در پرداخت باج یا خطر مواجهه با داده ها به صورت آنلاین استفاده می شود.

در گذشته ، مهاجمان باج افزار به منظور جستجوی داده های حساس ، دزدگیر دستگاه های شبکه قربانی را می جستند. از آنجایی که این کار زمان بر است و مهاجمان را برای شناسایی باز می کند ، اکنون به جای آن از پشتیبان گیری های خود قربانی استفاده کرده اند. پس از نقض سیستم قربانی ، مهاجمان پشتیبان تهیه پشتیبان قربانی را پیدا می کنند. اگر این یا در ابر یا در شبکه قربانی ذخیره شود ، مهاجمان از نسخه پشتیبان استفاده می کنند تا داده های قربانیان را به سرورهای تحت کنترل خود بازگرداند.

در ایمیلی که به BleepingComputer ارسال شده است ، یک مهاجم توضیح می دهد: "بله ، ما آنها را بارگیری می کنیم. این بسیار کاربردی است. بدون نیاز به جستجوی اطلاعات حساس ، قطعاً در نسخه پشتیبان تهیه شده است. اگر تهیه نسخه پشتیبان از ابر حتی ساده تر است ، فقط به ابر وارد شوید و آن را از سرور خود بارگیری کنید ، نامرئی بودن کامل در نرم افزار تشخیص نقض داده ها. " از آنجایی که مهاجمان فقط از پشتیبان های خود قربانی بازیابی می شوند ، نرم افزار پشتیبان گیری هیچ مشکلی ایجاد نمی کند. در نتیجه ، قربانی از این حمله بی اطلاع است.

نسخه پشتیبان تهیه شده به عنوان بخشی از حمله Ransomware

به عنوان بخشی از حمله باج افزار ، بازیگران مخرب معمولاً از پشتیبان گیری رمزگذاری می کنند و بقیه شبکه قربانی را نیز رمزگذاری می کنند. برای پشتیبان گیری های ذخیره شده در ابر ، مهاجمان از نرم افزار پشتیبان خود قربانی برای دسترسی به پرونده های پشتیبان استفاده کرده و آنها را حذف می کنند.

مهاجمان یا نسخه پشتیبان تهیه می کنند و یا از آنها رمزگذاری می کنند تا قربانیان نتوانند از پشتیبان خود برای بازیابی پرونده های رمزگذاری شده خود استفاده کنند. با این کار ، مشاغل می توانند سیستم ها را بدون نیاز به پرداخت باج مهاجم مبنی بر رمزگشایی سیستم های خود ، بازیابی کنند.

چگونه می توان از نسخه پشتیبان از حملات Ransomware محافظت کرد؟

صرف نظر از نرم افزارهای پشتیبان گیری که مشاغل نرم افزار پشتیبان استفاده می کنند ، یک بار مهاجم یک شبکه را به خطر می اندازد. در معرض خطر هستند بیشترین خطر حملات باج افزار پشتیبان تهیه شده در شبکه است. همچنین در صورت بروز حمله ، پشتیبان های ذخیره شده در دستگاه های متصل به شبکه هنوز هم در خطر هستند.

با توجه به این واقعیت ها ، مرکز امنیت سایبری ملی انگلیس (NCSC) هفته گذشته دستورالعمل های خود را برای کاهش حملات باج افزارها به روز کرد. دستورالعمل های جدید NCSC اکنون بر پشتیبان گیری آفلاین به عنوان بهترین دفاع در برابر حملات باج افزار تأکید می کند. NCSC همچنین هشدار می دهد که خدمات همگام سازی ابری مانند Dropbox یا OneDrive ، نباید به عنوان تنها منبع پشتیبان استفاده شود. دلیل این امر این است که اگر همگام سازی بلافاصله پس از رمزگذاری پرونده های محلی توسط باج افزار انجام شود ، پرونده های موجود در ابر نیز رمزگذاری می شوند.

طبق گفته NCSC ، بهترین روش برای ایجاد بک آپ های مقاوم در برابر ransomware دنبال کردن "3- قانون 2-1 ". این قانون حامی این است كه سازمانها حداقل 3 نسخه از نسخه پشتیبان تهیه كنند ، كه بر روی 2 دستگاه جداگانه كپی شده است ، كه یك دستگاه از آنها به صورت غیر سایتی نگهداری می شود.