Zdroj: BleepingComputer
Na našom incident blogu a aj v incident podcaste sme vám už zdôrazňovali, že aktuálne a funkčné zálohy sú základom pre zotavenie sa z ransomvér útoku. V minulosti firmy, ktoré mali zálohy aj tak pohoreli, lebo útočníci sa k nim dostali a zmazali ich. Je veľmi dôležité zálohovanie správne nastaviť.
Tento týždeň sme už informovali o skupine DoppelPaymer, ktorá na svojej web stránke uverejňuje súbory obetí. Lawrence Abrams z BleepingComputer si všimol, že medzi údajmi jednej z obetí je aj login do veľmi populárneho cloud zálohovacieho softvéru Veeam. Zaujalo ho to, a preto kontaktoval skupinu DoppelPaymer aj Maze, aby zistil ako cielia na zálohy obetí.
Obrázok č.1: Ukážka uniknutého prístupu k zálohovaciemu softvéru
Zdroj: DoppelPaymer web/incident.sk
Na začiatok malé upozornenie, článok je síce zameraný na Veeam, ale problém nie je v softvéri tejto firmy, ale v tom ako s ním ľudia pracujú a ako ho nastavujú. Podobné problémy môžete mať pri akomkoľvek inom zálohovacom programe.
Ransomvér útoky začínajú buď phishingovým emailom a ovládnutím počítača, alebo prekonaním zariadenia exponovanom na internete. Po tom čo sú útočníci vo vnútri siete je ich snahou získať prístupy doménového admina. Tie im väčšinou umožnia prístup všade vo vnútri siete. Na získanie prístupov používajú nástroje ako napr. Mimikatz a na pohyb po sieti využívajú nulovú segmentáciu sietí a zraniteľné zariadenia.
V prípade zálohovacieho softvéru Veeam ak bola zaškrtnutá Windows autentifikácia, tak získaním doménového admina majú útočníci prístup aj do záloh. Útočníci si cenia tento prístup, lebo im uľahčuje prácu. Čo firmy hlavne zálohujú? To čo je dôležité. Útočníci nemusia hľadať po sieti čo je cenné, stačí im obnoviť cloud zálohy na servery pod ich kontrolou a následne obetiam zmazať zálohy.
Skupina Maze sa vyjadrila, že postupuje presne v tomto duchu. Zástupcovia DoppelPaymer povedali, že používajú všetky možné metódy, aby sa dostali k zálohám. Takisto skonštatovali, že cloud zálohy sú veľmi dobré voči ransomvér útokom, ale zlé nastavenia a ľudský faktor znižujú ich účinnosť.
Ako správne zálohovať?
Rick Vanover z firmy Veeam radí nasledovné:
- majte separátne účty pre prístup k zálohovaciemu softvéru, ktoré nie sú doménové
- prístup k zálohovaciemu softvéru by mal byť chránený cez multifaktorovú autentifikáciu
- zálohovacia infraštruktúra by mala byť izolovaná od internetu a na samostatnom segmente siete
- dodržiavajte pravidlo zálohovania 3-2-1: majte 3 rôzne kópie dát, na 2 rôznych médiách (disky, pásky), 1 set záloh off-line alebo off-site (mimo dosahu útočníkov)
- v prípade cloud záloh si kúpte immutable(nemeniteľné) úložisko, ktoré sa nedá zmazať, dá sa len čítať
Zálohovanie je síce veľmi dôležité, ale nezabúdajte, že vzhľadom na nové techniky útočníkov je dôležité neustále riadiť, aktualizovať, monitorovať a vylepšovať vašu infraštruktúru. Ak dokážete zastaviť útok včas, ušetríte si čas, peniaze aj reputáciu.
Obrázok: „tapes“ by Martin Abegglen, used under CC BY-SA 2.0
