Почему Атаки Вымогателей Успешны Даже с Бэкапами
Многие компании считают, что резервные копии защитят их от атак программ-вымогателей, но это серьезное заблуждение. Согласно отчету компании Acronis, злоумышленники теперь целенаправленно уничтожают системы резервного копирования перед шифрованием данных, лишая жертву возможности восстановления.
Предыстория и значимость проблемы
В мире кибербезопасности одним из основных механизмов защиты от атак программ-вымогателей (ransomware) всегда считалось регулярное и надежное резервное копирование данных. Логика проста: если злоумышленник зашифрует ваши системы, вы можете возобновить работу, восстановившись из последней чистой резервной копии, вместо того чтобы платить выкуп. Однако новый отчет, опубликованный BleepingComputer и основанный на анализе компании Acronis, показывает, что этот традиционный подход больше не является достаточным. Согласно отчету, современные группы вымогателей знают об этой линии защиты и эволюционировали свои стратегии атак. Теперь первый шаг атаки — это не шифрование данных, а обнаружение и полное уничтожение спасательного круга компании: ее систем резервного копирования.
Технический аспект и этапы атаки
Целенаправленная атака на системы резервного копирования является частью многоэтапной и тщательно спланированной операции. Этот процесс начинается задолго до активации самой программы-вымогателя в сети. Вот типичная анатомия таких атак:
- Проникновение в сеть и разведка: Злоумышленники получают первоначальный доступ к целевой сети, как правило, с помощью фишинговых писем, уязвимых протоколов удаленного рабочего стола (RDP) или украденных учетных данных. Попав внутрь, они не сразу приступают к шифрованию. Вместо этого они переходят к фазе «разведки», которая может длиться недели или даже месяцы. В это время они составляют карту сети, выявляют критически важные серверы, базы данных и, что самое главное, инфраструктуру резервного копирования.
- Обнаружение инфраструктуры резервного копирования: Атакующие ищут консоли управления популярного ПО для резервного копирования, такого как Veeam, Commvault, Acronis или Windows Server Backup. Они определяют серверы резервного копирования, устройства хранения (NAS/SAN) и облачные учетные записи для бэкапов. Их главная цель — захватить учетные данные администратора, необходимые для доступа к этим системам.
- Уничтожение резервных копий: Получив необходимый доступ, злоумышленники систематически уничтожают все точки восстановления. Это может быть сделано несколькими способами:
- Удаление локальных бэкапов: Они подключаются к серверу резервного копирования и удаляют все существующие наборы резервных копий и их каталоги.
- Уничтожение теневых копий (Snapshots): Они отключают механизмы моментальных снимков на уровне операционной системы, такие как Volume Shadow Copy Service (VSS) в Windows, и удаляют все существующие теневые копии. Это блокирует способность системы к самовосстановлению.
- Атака на облачные бэкапы: Если компания использует облачное резервное копирование, злоумышленники используют скомпрометированные учетные данные для входа в облачную учетную запись и навсегда удаляют все хранящиеся там резервные копии данных.
- Развертывание программы-вымогателя: После того как все резервные копии и возможности восстановления устранены, злоумышленники делают последний шаг и развертывают программу-вымогатель на всех критически важных системах в сети, шифруя данные. В этот момент компания-жертва оказывается в безвыходном положении. У нее не осталось резервных копий для восстановления, и она начинает думать, что у нее нет другого выбора, кроме как заплатить выкуп.
Почему системы резервного копирования так уязвимы?
Отчет Acronis подчеркивает, что у многих компаний есть серьезные недостатки в защите своей инфраструктуры резервного копирования. Тот факт, что системы резервного копирования часто находятся в той же сети и управляются с теми же учетными данными администратора, что и основная производственная среда, облегчает работу злоумышленников. Как только злоумышленник проникает в сеть и получает права администратора, он может легко получить доступ как к рабочим системам, так и к резервным копиям. В таких ситуациях использование сервиса Поиск утечки данных для проверки того, какие персональные данные могли быть похищены до или во время атаки вымогателя, может стать важным шагом в оценке ущерба.
Ваш email в утечке? Проверьте бесплатно — результат за секунды.
Проверить →Стратегии защиты для организаций и частных лиц
Для защиты от угроз нового поколения необходимо выйти за рамки традиционного понимания резервного копирования. Вот критические меры, которые должны предпринять организации и технический персонал:
- Применяйте правило 3-2-1: Всегда храните три копии ваших данных на двух разных типах носителей, при этом одна копия должна храниться вне офиса (off-site).
- Неизменяемые (Immutable) резервные копии: Используйте решения для резервного копирования, которые создают копии, которые нельзя удалить или изменить в течение определенного периода времени.
- Изолированные (Air-Gapped) резервные копии: Храните одну копию ваших бэкапов на носителе, который физически не подключен к сети (например, внешние диски, ленточные картриджи).
- Управление привилегированным доступом (PAM): Убедитесь, что учетные записи для управления системами резервного копирования отличаются от учетных записей администраторов основной сети и имеют гораздо более ограниченные права.
- Архитектура нулевого доверия (Zero Trust): Не доверяйте по умолчанию ни одному пользователю или устройству в вашей сети.
- Регулярное тестирование и учения: Регулярно тестируйте свои резервные копии, чтобы убедиться, что их можно восстановить.
В заключение, резервные копии по-прежнему являются краеугольным камнем киберустойчивости, но сами по себе они уже недостаточны. Инфраструктура резервного копирования должна рассматриваться как один из самых ценных активов компании и защищаться так же строго, как и производственные системы.