Las copias de seguridad son la defensa más importante, si no la más importante, contra el ransomware, pero si no se configuran correctamente, los atacantes la usarán contra usted.
Recientemente, los operadores de DoppelPaymer Ransomware publicaron en su sitio de filtración el nombre de usuario y la contraseña de administrador para el software de copia de seguridad Veeam de una víctima que no paga.
Esto no estaba destinado a exponer la información a otros para ataques adicionales, sino que se usó como una advertencia a la víctima de que los operadores de ransomware tenían acceso completo a su red, incluidas las copias de seguridad.
Después de ver esta información, contacté a los operadores de las familias DoppelPaymer y Maze Ransomware para saber cómo atacan las copias de seguridad de las víctimas y me sorprendió lo que aprendí.
Cabe señalar que en este artículo nos centraremos en el software de copia de seguridad Veeam. No porque sea menos seguro que otro software, sino simplemente porque es uno de los productos de respaldo empresariales más populares y fue mencionado por los operadores de ransomware.
Los atacantes primero usan sus copias de seguridad en la nube para robar sus datos
Durante los ataques de ransomware, los atacantes comprometerán un host individual mediante phishing, malware o servicios de escritorio remoto expuestos.
Una vez que obtienen acceso a una máquina, se extienden lateralmente a través de la red hasta que obtienen acceso a las credenciales de administrador y al controlador de dominio.
Utilizando herramientas como Mimikatz, proceden a volcar las credenciales del directorio activo.
Según Nero Consulting , una empresa de consultoría de MSP y TI con sede en la ciudad de Nueva York que me ayudó con este artículo, esto podría permitir a los atacantes obtener acceso al software de respaldo ya que algunos administradores configuran Veeam para usar la autenticación de Windows.
Cuando Maze encuentra copias de seguridad almacenadas en la nube, intentan obtener las credenciales de almacenamiento en la nube y luego las utilizan para restaurar los datos de la víctima a servidores bajo el control del atacante.
"Sí, los descargamos. Es muy útil. No es necesario buscar información confidencial, definitivamente está contenida en las copias de seguridad. Si las copias de seguridad en la nube son aún más fáciles, simplemente inicie sesión en la nube y descárguela desde su servidor, completa invisibilidad al "software de detección de violación de datos". Clouds es cuestión de seguridad, ¿verdad? "
Como los atacantes se están restaurando directamente desde la nube a sus servidores, no generará ninguna señal de alerta para la víctima, ya que sus servidores parecen funcionar normalmente sin que se creen registros en su software de respaldo.
Los operadores de Maze no explicaron cómo obtienen acceso a las credenciales de la nube, pero DoppelPaymer nos dijo que usan "todos los métodos posibles".
Esto podría incluir keyloggers, ataques de phishing o leer documentación guardada localmente en los servidores de respaldo.
Eliminar copias de seguridad antes de los ataques de ransomware
Independientemente de si las copias de seguridad se usan para robar datos, antes de encriptar los dispositivos en la red, los atacantes primero eliminarán las copias de seguridad para que no puedan usarse para restaurar archivos encriptados.
DoppelPaymer le dijo a BleepingComputer que aunque las copias de seguridad en la nube pueden ser una buena opción para protegerse contra el ransomware, no es 100% efectivo.
Las copias de seguridad en la nube son una muy buena opción contra el rescate, pero no protegen al 100% ya que las copias de seguridad en la nube no siempre están bien configuradas, las copias de seguridad fuera de línea a menudo están desactualizadas: el sistema de copias de seguridad es realmente agradable, pero el factor humano deja algunas opciones", nos dijo DoppelPaymer por correo electrónico.
A menos que se suscriba a complementos de servicio, como copias de seguridad inmutables, ya que los actores tienen acceso completo a la instalación local del software de copia de seguridad, simplemente pueden eliminar cualquier copia de seguridad que exista en la nube.
Eliminar una copia de seguridad en la nube en Veeam
Con los datos de una víctima ahora robados y sus copias de seguridad eliminadas, los atacantes implementan su ransomware en toda la red comprometida usando PSExec o PowerShell Empire típicamente durante las horas de descanso.
Esto generalmente lleva a que una empresa abra al día siguiente a una red encriptada.
Protegiendo sus copias de seguridad
En correos electrónicos con Rick Vanover, Director Senior, Estrategia de Producto de Veeam Software, nos dijeron que no importa qué software use, una vez que un atacante obtiene acceso privilegiado a la red, todo está en riesgo.
"Hemos abogado, incluso en un documento técnico publicado en 2017 que escribí. He recomendado cuentas separadas para las instalaciones y componentes de Veeam. Además, recomiendo las instalaciones de Veeam para usar cuentas que no sean de dominio para los componentes y agregar más capas basadas en cuentas resistencia. Además, Veeam ha recomendado que la implementación de Veeam no tenga acceso a Internet o esté en una red de administración aislada ", dijo Vanover
Para evitar que los atacantes de ransomware obtengan una influencia completa sobre una víctima, Veeam recomienda que las empresas sigan una regla 3-2-1 al configurar las copias de seguridad.
"Ya se trate de datos de copia de seguridad ultrarresistentes como copias de seguridad inmutables S3 en la nube, copias de seguridad cifradas en cinta o copias de seguridad cifradas en almacenamiento extraíble fuera de línea; los clientes deben tener múltiples copias de datos. Hemos abogado durante mucho tiempo el 3-2 -1 Regla, que aboga por tener 3 copias diferentes de datos en 2 medios diferentes con uno de ellos fuera del sitio.Un par en 1 copia con una técnica ultrarresistente, como una copia de seguridad inmutable, una copia de seguridad fuera de línea o sin aire; los datos se pueden proteger contra casi cualquier escenario de falla, incluido el ransomware. Además, Veeam también tiene una tecnología llamada Restauración segura, que realizará un análisis de amenazas con casi cualquier herramienta para garantizar que un sistema o datos restaurados no reintroduzcan una amenaza, "Vanover continuó.
Al igual que Veeam, Nero Consulting también recomienda encarecidamente a los usuarios que compren el almacenamiento inmutable o las opciones de protección de almacenamiento redundante si están disponibles al usar servicios en la nube.
Con esta opción, incluso si los datos se eliminan del proveedor de almacenamiento en la nube, el servicio de almacenamiento inmutable hará que los datos sean recuperables durante un cierto período de tiempo.
En cuanto a proteger una red de la filtración de datos, la mejor solución es evitar que los atacantes tengan acceso a su red en primer lugar y monitorear la actividad sospechosa.
Esto incluiría la utilización de software de monitoreo de red, sistemas de detección de intrusos y control de acceso geográfico e IP para proveedores de almacenamiento en la nube, si están disponibles.
Fecha actualización el 2021-03-04. Fecha publicación el 2020-03-04. Categoría: ransomware Autor: Oscar olg Mapa del sitio Fuente: bleempingcomputer Version movil