Se não estiver configurado corretamente, o backup será usado por hackers para ataques de ransomware
O backup é um dos recursos mais importantes, se não a mais importante, na defesa contra ransomware. No entanto, se não estiver configurado corretamente, hackers o usarão contra a empresa.
Recentemente, operadores do ransomware DoppelPaymer publicaram em seu site de vazamento de dados o nome de usuário e a senha do administrador do software de backup Veeam de uma empresa vítima que não pagou resgate. Os hackers disseram que não pretendiam expor as informações a terceiros para outros ataques, mas foi usado como um aviso à empresa de que tinham acesso total à sua rede, incluindo os backups.
A tática funciona da seguinte maneira: durante ataques de ransomware, os invasores comprometem um host individual por meio de phishing, malware ou serviços de área de trabalho remota expostos. Depois que obtêm acesso a uma máquina, eles se espalham lateralmente pela rede até obter acesso às credenciais de administrador e ao controlador de domínio. Usando ferramentas como o Mimikatz, os hackers continuam despejando credenciais do diretório ativo.
De acordo com a Nero Consulting, provedora de serviços gerenciados e consultoria de TI, com sede em Nova York, isso pode permitir que os invasores tenham acesso ao software de backup, já que alguns administradores configuram o software de backup Veeam para usar na autenticação do Windows. O Veeam é usado como exemplo, não porque seja menos seguro que outro software, mas simplesmente por ser um dos produtos de backup corporativos mais populares.
Uma vez que obtêm acesso, os operadores do ransomware Maze dizem que se os backups em nuvem estiverem configurados, será muito útil para o roubo de dados de suas vítimas.
Quando o Maze encontra backups armazenados na nuvem, eles tentam obter as credenciais de armazenamento na nuvem e depois os usam para restaurar os dados da vítima em servidores sob o controle do invasor. Como os invasores estão restaurando diretamente da nuvem para seus servidores, isso não gerará nenhum sinal de alerta para a vítima, pois seus servidores parecem estar operando normalmente, sem a criação de logs no software de backup.
Excluindo backups antes de ataques de ransomware
Independentemente de os backups serem usados para roubar dados, antes de criptografar os dispositivos na rede, os atacantes primeiro excluem os backups para que não possam ser usados para restaurar arquivos criptografados.
Um hacker do DoppelPaymer disse ao site BleepingComputer que, embora os backups em nuvem possam ser uma boa opção para se proteger contra ransomware, ele não é 100% eficaz. “Os backups na nuvem são uma opção muito boa contra o resgate, mas não protegem 100%, pois os backups na nuvem nem sempre são bons configurados, os backups offline geralmente estão desatualizados — o sistema de backups é muito bom, mas o fator humano deixa algumas opções”, disse ele.
A menos que a empresa assine complementos de serviço, como backups imutáveis, como os hackers têm acesso total à instalação local do software de backup, eles podem simplesmente excluir os backups existentes na nuvem. Com os dados de uma vítima agora roubados e seus backups excluídos, os atacantes implantam seu ransomware em toda a rede comprometida usando o PSExec ou o PowerShell Empire normalmente fora do horário comercial. Isso geralmente leva a uma empresa abrir no dia seguinte a uma rede criptografada.
