勒索軟體劫持資料新去處
勒索軟體劫持資料新去處
為了脅迫受害組織支付贖金,勒索軟體駭客往往會先竊取內部資料再進行檔案加密,但現在駭客更換外流資料的管道,也引起研究人員的注意。
一般來說,勒索軟體駭客原本用來外流受害組織資料的管道,最常見的是利用雲端檔案共享服務Mega提供的公用程式MEGASync,或是能公開取得的Rclone,但資安業者ModePUSH發現,變臉(BianLian)、Rhysida等多個勒索軟體駭客組織,越來越頻繁地利用Azure Storage Explorer、AzCopy,將竊得的資料送到Azure Blob儲存桶。
為何這些駭客選擇濫用Azure Blob儲存桶?研究人員指出,主要原因在於Azure是許多企業採用的服務,因此相關流量不太可能會遭到防火牆或是資安系統攔截;再者,駭客在短時間內外流竊得資料的過程,藉由Azure的延展性,他們可以因應這些非結構化的大量資料。
對於這些駭客使用的作案工具,研究人員特別提及勒索軟體ScRansom的結構並不嚴謹,從相關攻擊行動裡,突顯駭客在勒索軟體領域的能力不夠成熟。他們發現,駭客的解密工具雖然能正常運作,但在解密過程通常需要多組金鑰,而且還會出現部分檔案面臨永久性損壞的情況,換言之,受害者若是選擇低頭向駭客付錢,很有可能無法完全正常復原所有資料。
若平時就有定期執行每日備份任務,即可有效的減少災難恢復所需要的時間,
面對資訊安全災難,您需要以下方案
●1:對所有電腦系統進行每日備份,增加RPO
●2:將備份存放區設計成不可變更儲存,或隔離保護
●3:備份檔案異地副本,達成備份321原則
●4:使用備用虛擬平台,將備份即時恢復啟動,減少RTO
對此,我們提供客戶採購前/中/後:規劃評估,導入,維護。
設計良好的備份系統可防止備份被加密或刪除,在災難事件發生後使用這些備份將系統重建到完全可操作狀態。
我們絕不輕視備份的重要性。所有組織都必須擁有一個強大而安全的備份系統,這一點至關重要。