Ehtiyat Nüsxələri Olsa Belə Ransomware Niyə Uğurlu Olur
Bir çox şirkət ehtiyat nüsxələrinin onları hədə-qorxu proqramı hücumlarından qoruyacağına inanır, lakin bu, böyük bir yanlış anlamadır. Kiber təhlükəsizlik şirkəti Acronis-in hesabatına görə, təcavüzkarlar artıq məlumatları şifrələmədən əvvəl birbaşa ehtiyat nüsxələmə sistemlərini hədəf alaraq məhv edir və bərpa seçimini aradan qaldırırlar.
Hadisənin Arxaplanı və Əhəmiyyəti
Kibertəhlükəsizlik dünyasında hədə-qorxu proqramı (ransomware) hücumlarına qarşı ən fundamental müdafiə mexanizmlərindən biri həmişə müntəzəm və etibarlı məlumatların ehtiyat nüsxələri hesab edilmişdir. Məntiq sadədir: əgər bir təcavüzkar sistemlərinizi şifrələyərsə, fidyə ödəmək əvəzinə ən son təmiz nüsxənizdən geri qayıdaraq əməliyyatlarınıza davam edə bilərsiniz. Lakin BleepingComputer tərəfindən dərc edilən və kibertəhlükəsizlik şirkəti Acronis-in təhlillərinə əsaslanan yeni bir hesabat, bu ənənəvi düşüncə tərzinin artıq yetərli olmadığını üzə çıxarır. Hesabata görə, müasir hədə-qorxu proqramı qrupları bu müdafiə xəttindən xəbərdardır və hücum strategiyalarını buna uyğun olaraq təkmilləşdiriblər. Artıq hücumların ilk addımı məlumatları şifrələmək deyil, şirkətin həyat xətti olan ehtiyat nüsxələmə sistemlərini tapıb tamamilə məhv etməkdir.
Hücumun Texniki Tərəfi və Mərhələləri
Təcavüzkarların ehtiyat nüsxələmə sistemlərini hədəf alması, çoxmərhələli və diqqətlə planlaşdırılmış bir əməliyyatın bir hissəsidir. Bu proses, hədə-qorxu proqramının özünün şəbəkədə aktivləşdirilməsindən çox daha əvvəl başlayır. Budur bu hücumların tipik anatomiyası:
- Şəbəkəyə Sızma və Kəşfiyyat: Təcavüzkarlar, adətən fişinq e-poçtları, zəiflikli uzaqdan iş masası protokolları (RDP) və ya oğurlanmış giriş məlumatları kimi üsullarla hədəf şəbəkəyə ilkin girişi təmin edirlər. İçəri daxil olduqdan sonra dərhal şifrələmə prosesinə başlamırlar. Əvəzində, həftələrlə, hətta aylarla davam edə bilən bir "kəşfiyyat" mərhələsinə keçirlər. Bu müddət ərzində şəbəkənin xəritəsini çıxarır, kritik serverləri, məlumat bazalarını və ən əsası ehtiyat nüsxələmə infrastrukturunu müəyyən edirlər.
- Ehtiyat Nüsxələmə İnfrastrukturunun Müəyyən Edilməsi: Təcavüzkarlar, Veeam, Commvault, Acronis və ya Windows Server Backup kimi populyar ehtiyat nüsxələmə proqramlarının idarəetmə konsollarını axtarırlar. Şəbəkədəki ehtiyat nüsxələmə serverlərini, saxlama qurğularını (NAS/SAN) və bulud ehtiyat nüsxə hesablarını təyin edirlər. Bu sistemlərə daxil olmaq üçün tələb olunan administrator giriş məlumatlarını ələ keçirməyə fokuslanırlar.
- Ehtiyat Nüsxələrinin Məhv Edilməsi: Lazımi girişi əldə etdikdən sonra, təcavüzkarlar sistematik olaraq bütün bərpa nöqtələrini aradan qaldırırlar. Bu, bir neçə fərqli üsulla həyata keçirilə bilər:
- Yerli Nüsxələrin Silinməsi: Ehtiyat nüsxələmə serverinə qoşularaq mövcud bütün ehtiyat nüsxə dəstlərini və kataloqlarını silirlər.
- Ani Görüntülərin (Snapshots) Yox Edilməsi: Windows-un Volume Shadow Copy Service (VSS) kimi əməliyyat sistemi səviyyəsindəki ani ehtiyat nüsxələmə mexanizmlərini ləğv edir və mövcud bütün kölgə nüsxələri silirlər. Bu, sistemin özünü bərpa etmə qabiliyyətini əngəlləyir.
- Bulud Nüsxələrinin Hədəf Alınması: Əgər şirkət bulud əsaslı ehtiyat nüsxələmədən istifadə edirsə, təcavüzkarlar ələ keçirdikləri giriş məlumatları ilə bulud hesabına daxil olur və orada saxlanılan bütün ehtiyat məlumatlarını daimi olaraq silirlər.
- Hədə-Qorxu Proqramının Yayılması: Bütün ehtiyat nüsxələri və bərpa seçimləri aradan qaldırıldıqdan sonra, təcavüzkarlar son addımı atır və şəbəkədəki bütün kritik sistemlərə hədə-qorxu proqramını yayaraq məlumatları şifrələyirlər. Bu nöqtədə, qurban şirkətin əli-qolu bağlanmış olur. Geri qayıda biləcəkləri bir ehtiyat nüsxə qalmamışdır və fidyəni ödəməkdən başqa seçimlərinin olmadığını düşünməyə başlayırlar.
Niyə Ehtiyat Nüsxələmə Sistemləri Bu Qədər Müdafiəsizdir?
Acronis-in hesabatı bir çox şirkətin ehtiyat nüsxələmə infrastrukturunu qorumaqla bağlı ciddi çatışmazlıqları olduğunu vurğulayır. Ehtiyat nüsxələmə sistemlərinin adətən əsas istehsal mühiti ilə eyni şəbəkədə və eyni idarəetmə məlumatları ilə idarə olunması təcavüzkarların işini asanlaşdırır. Şəbəkəyə bir dəfə sızan təcavüzkar, administrator hüquqlarını əldə etdikdə həm canlı sistemlərə, həm də ehtiyat nüsxələrə asanlıqla daxil ola bilir. Belə vəziyyətlərdə, bir Məlumat Sızıntısı Sorğusu xidmətindən istifadə edərək, hücumdan əvvəl və ya hücum zamanı hansı şəxsi məlumatların sızdırıldığını yoxlamaq zərərin qiymətləndirilməsi üçün vacib bir addım ola bilər.
E-poçtunuz sızdırılıb? Pulsuz yoxlayın — saniyələr içində nəticə.
İndi Yoxla →Qurumlar və Fərdlər üçün Müdafiə Strategiyaları
Bu yeni nəsil təhdidlərə qarşı qorunmaq üçün ənənəvi ehtiyat nüsxələmə anlayışından kənara çıxmaq lazımdır. Qurumların və texniki heyətin görməli olduğu vacib tədbirlər bunlardır:
- 3-2-1 Qaydasını Tətbiq Edin: Məlumatlarınızın həmişə üç nüsxəsini, iki fərqli media növündə saxlayın və nüsxələrdən birini ofis xaricində (off-site) saxlayın.
- Dəyişdirilə bilməyən (Immutable) Nüsxələr: Müəyyən bir müddət ərzində silinə və ya dəyişdirilə bilməyən ehtiyat nüsxələmə həllərindən istifadə edin. Təcavüzkar administrator hesabını ələ keçirsə belə, bu nüsxələri məhv edə bilməz.
- Hava Boşluqlu (Air-Gapped) Nüsxələr: Ehtiyat nüsxələrinizin bir kopyasını fiziki olaraq şəbəkəyə qoşulmayan bir mühitdə (məsələn, xarici disklər, lent kartricləri) saxlayın.
- İmtiyazlı Giriş İdarəetməsi (PAM): Ehtiyat nüsxələmə sistemlərini idarə edən hesabların əsas şəbəkədəki administrator hesablarından fərqli və daha məhdud olmasını təmin edin.
- Sıfır Güvən (Zero Trust) Arxitekturası: Şəbəkənizdəki heç bir istifadəçiyə və ya cihaza defolt olaraq etibar etməyin.
- Müntəzəm Testlər və Təlimlər: Ehtiyat nüsxələrinizi mütəmadi olaraq sınaqdan keçirərək bərpa oluna biləcəyinə əmin olun.
Nəticə olaraq, ehtiyat nüsxələri hələ də kiber dayanıqlılığın təməl daşıdır, lakin artıq təkbaşına kifayət deyil. Ehtiyat nüsxələmə infrastrukturu özü şirkətin ən dəyərli aktivlərindən biri kimi qəbul edilməli və ən azı istehsal sistemləri qədər ciddi şəkildə qorunmalıdır.