فا

‫ سوء‌استفاده از نسخه‌های پشتیبان‌ قرار گرفته در فضای ابری علیه خود کاربر توسط باج‌افزارها

پشتیبان‌گیری یکی از مهم‌ترین راه‌حل‌های محافظت داده‌ها (حتی شاید مهم‌ترین) در برابر باج افزارها است، اما اگر به‌درستی از این شیوه استفاده نشود، مهاجمین از آن علیه شما استفاده می‌کنند.
اخیراً اپراتورهای DoppelPaymer Ransomware در سایت نشت اطلاعات خود، بدون پرداخت هزینه نرم افزار پشتیبان‌گیری Veeam، نام کاربری ادمین و رمزعبور متعلق به یک قربانی را منتشر کردند.

این امر نه به معنای افشای اطلاعات برای دیگران و حملات بیشتر، بلکه هشداری برای قربانی بود که اپراتورهای باج افزار به شبکه‌ی آن‌ها از جمله نسخه‌‌های پشتیبان آن‌ها، دسترسی کامل دارند.
بعد از دیدن این اطلاعات، با اپراتورهای خانواده‌های DoppelPaymer و Maze Ransomware ارتباط برقرار شد تا چگونگی هدف قرار‌گرفتن پشتیبان‌های قربانی مشخص شود و نتایج بسیار تعجب‌آور بود.

لازم به ذکر است که در این مطلب به نرم‌افزار پشتیبان‌گیری Veeam پرداخته‌شده‌است. نه به این دلیل که نسبت به سایر نرم‌افزارها از امنیت کمتری برخوردار است، بلکه به این دلیل که یکی از محبوب‌ترین محصولات پشتیبان‌گیری است و توسط اپراتورهای باج‌افزار ذکر شده است.

مهاجمین ابتدا از نسخه‌ی پشتیبان ابری کاربر برای سرقت اطلاعات‌ آنها استفاده می‌کنند.
در طول حملات باج افزار، مهاجمین یک میزبان فردی را از طریق فیشینگ، بدافزار یا سرویس‌های کنترل از راه‌دور، در معرض خطر قرار می‌دهند. پس از بدست‌‍‌گرفتن دسترسی یک سیستم، به طور جانبی در سراسر شبکه گسترش می‌یابند تا اینکه به اعتبارنامه‌ ادمین و کنترل‌کننده‌ دامنه، دسترسی پیدا کنند. با استفاده از ابزاری مانند Mimikatz، اعتبارنامه‌ها را از active directory کپی می‌کنند.
طبق گفته Nero Consulting، یک شرکت مشاوره‌ی MSP و IT مستقر در اطراف نیویورک که در این مطلب نیز کمک کرده‌است، از آنجایی که برخی از ادمین‌ها Veeam را طوری پیکربندی می‌کنند که از احرازهویت ویندوز استفاده کند، به مهاجمین امکان می‌دهند که دسترسی نرم‌افزار پشتیبان‌گیری را بدست آورند

دانلود پیوست


نظرات

بدون نظر
شما برای نظر دادن باید وارد شوید

مشخصات خبر

تاریخ ایجاد: 19 اسفند 1398

امتیاز

امتیاز شما
تعداد امتیازها: 0