باندهای باج افزار برای به حداکثر رساندن سود، پشتیبان گیری را هدف قرار می دهند

hacked computer hardware

بر اساس گزارشی که توسط یک شرکت امنیت سایبری منتشر شده است، پشتیبان‌گیری از داده‌ها به هدفی ضروری برای بازیگران باج‌افزار تبدیل شده است.

این تحقیق که توسط Sophos حمایت شد و بر اساس نظرسنجی از نزدیک به 3000 متخصص فناوری اطلاعات و امنیت در 14 کشور انجام شد، نشان داد که 94 درصد از سازمان‌هایی که در سال گذشته مورد حمله باج‌افزار قرار گرفته‌اند، گفته‌اند که عوامل تهدید تلاش کرده‌اند تا نسخه‌های پشتیبان خود را در طول حمله به خطر بیاندازند.

برای سازمان‌ها در بخش‌های دولتی، رسانه‌ها، اوقات فراغت و سرگرمی، این اعداد حتی بالاتر بود: 99٪.

این گزارش توضیح داد که دو راه اصلی برای بازیابی اطلاعات رمزگذاری شده در یک حمله باج‌افزار وجود دارد: بازیابی از نسخه‌های پشتیبان و پرداخت باج.

محققان نوشتند: «به خطر انداختن پشتیبان‌های یک سازمان، بازیگران باج‌افزار را قادر می‌سازد تا توانایی قربانی خود را برای بازیابی داده‌های رمزگذاری‌شده محدود کنند و با انجام این کار، فشار پرداخت را کاهش دهند».

کورتیس فچنر، رهبر تهدیدات سایبری در Optiv، ارائه‌دهنده راه‌حل‌های امنیت سایبری که مقر آن در دنور است، می‌گوید: «این به یک بخش رایج از فیلمنامه این افراد در حملات خود تبدیل شده است.

او به TechNewsWorld گفت: «آنها همیشه سعی می‌کنند مکان‌های پشتیبان‌گیری را پیدا کنند و آنها را غیرقابل دسترس کنند. بخشی از محاسبات آنها برای دریافت پول، یافتن پشتیبان‌گیری است، زیرا آنها می‌خواهند میزان درآمدی را که می‌توانند از حمله به دست آورند، به حداکثر برسانند.

«اگر نسخه‌های پشتیبان شما را آفلاین و به‌عنوان وسیله‌ای برای بازیابی برداشته باشم، احتمال پرداخت شما را بیشتر کرده‌ام، اما می‌توانم شما را بیشتر فشار دهم زیرا می‌دانم که مستأصل هستید. فچنر افزود: من می دانم که شما در تنگنا هستید.

تهدید در حال تکامل

ایلیا سوتنیکوف، یک استراتژیست امنیتی و معاون تجربه کاربری در Netwrix، یک شرکت نرم‌افزار امنیت فناوری اطلاعات که مقر آن در فریسکو، تگزاس است، توضیح داد: زمانی که باج‌افزار سازمانی حدود 10 سال پیش شروع به کار کرد، چندان پیچیده نبود.

بدافزار باج‌افزار از پیکربندی‌های ناامن یا آسیب‌پذیری‌های سیستم برای انتشار سریع در محیط استفاده می‌کند و تمام داده‌هایی را که این بدافزار به آنها دسترسی پیدا می‌کند رمزگذاری می‌کند. در نتیجه، از قربانی اخاذی شد تا باج را برای یک کلید رمزگشایی برای بازگرداندن عملیات خود بپردازد.


وی گفت: «صنعت امنیت سایبری با رویکرد امنیتی چند لایه مبتنی بر قابلیت‌های حفاظتی و شناسایی بهتر و همچنین نظم و انضباط پشتیبان‌گیری و بازیابی به این تهدید پاسخ داد.» در نتیجه، سازمان‌ها بیشتر حملات را منحرف کردند، تعداد حملات موفق را به حداقل رساندند و یاد گرفتند که چگونه به طور موثر سیستم‌ها و عملیات‌ها را بدون پرداخت باج بازیابی کنند.»

به نوبه خود، او ادامه داد، استراتژی باج افزار برای افزایش شانس موفقیت با جستجوی راه های جدید برای مقابله با اقدامات امنیتی تکامل یافته است. بدافزارها گریزان تر شدند. مجرمان شروع به صرف زمان بیشتری در مرحله شناسایی برای شناسایی و هدف قرار دادن حساس ترین داده ها کردند. باندهایی مانند Maze و LockBit شروع به استخراج داده های شرکت کردند و خطر نشت داده های عمومی را به رمزگذاری اضافه کردند – طرحی که به عنوان اخاذی مضاعف شناخته می شود.

او افزود: «از آن زمان، مهاجمان باج‌افزار نیز شروع به هدف قرار دادن نسخه‌های پشتیبان کرده‌اند تا بازیابی را غیرممکن یا بسیار پرهزینه کنند و قربانیان را مجبور به پرداخت باج کنند».

پشتیبان گیری پایین، باج بالا

Sophos گزارش داد که قربانیانی که پشتیبان‌هایشان به خطر افتاده بود، باج‌گیری دریافت کردند که به‌طور میانگین بیش از دو برابر کسانی بود که پشتیبان‌هایشان تحت تأثیر قرار نگرفت. متوسط ​​باج خواهی برای قربانیان دارای نسخه پشتیبان در معرض خطر 2.3 میلیون دلار آمریکا بود، در مقایسه با یک میلیون دلار برای قربانیان با نسخه پشتیبان به خطر افتاده.

پشتیبان‌گیری یک شبکه ایمنی برای سازمان‌ها فراهم می‌کند. با این حال، اگر این نسخه پشتیبان به خطر بیفتد و سازمان دچار حمله سایبری شود، ممکن است بازیابی دسترسی به شبکه‌ها و داده‌های آن‌ها ناامیدتر باشد.»

او به TechNewsWorld گفت: مهاجمان متوجه می‌شوند که با حذف دسترسی به نسخه پشتیبان، سازمان‌ها آسیب‌پذیرتر می‌شوند و گزینه‌های کمی به جز پاسخگویی به درخواست‌های باج‌گیری گزاف برای بازگرداندن داده‌های خود باقی می‌مانند.

این ناتوانی سازمان‌هایی که پشتیبان‌گیری در معرض خطر دارند در مذاکره با بازیگران باج‌افزار توسط تحقیقات Sophos پشتیبانی می‌شود. این نشان داد که افرادی که نسخه پشتیبان در معرض خطر قرار داشتند، به طور متوسط ​​98٪ از باج درخواستی را پرداخت کردند، در حالی که 82٪ بدون نسخه پشتیبان به خطر افتاده بود.

این گزارش همچنین خاطرنشان کرد که سازمان‌هایی که نسخه‌های پشتیبان‌شان به خطر افتاده است، تقریباً دو برابر بیشتر از سازمان‌هایی که پشتیبان‌هایشان تحت تأثیر قرار نگرفته بود، برای بازیابی داده‌های رمزگذاری‌شده (67 درصد) باج می‌پردازند (36 درصد).

قیمت بالاتر بازیابی

قربانیانی که نسخه‌های پشتیبان در معرض خطر قرار دارند، نه تنها باج بیشتری می‌پردازند، بلکه هزینه بیشتری نیز برای بازیابی پس از حمله پرداخت می‌کنند.

میانگین کلی هزینه های بازیابی باج افزار برای سازمان هایی که نسخه پشتیبان آنها به خطر افتاده است، هشت برابر (3 میلیون دلار) بیشتر از سازمان هایی است که نسخه پشتیبان آنها تحت تأثیر قرار نگرفته است (375000 دلار).

گوچیونه توضیح داد که هزینه‌های بازیابی سازمان‌هایی که قربانی حملات باج‌افزاری می‌شوند شامل از دست دادن درآمد به دلیل اختلال در عملکرد و آسیب به شهرت برند، تلاش‌های بازیابی فوری و طولانی‌مدت، هزینه پرداخت باج و همچنین امکان جریمه است. و سایر تعهدات قانونی بالقوه


او گفت: «زمانی که حمله باج‌افزار شامل پشتیبان‌گیری نیز می‌شود، فرآیند بازیابی به‌طور قابل‌توجهی طولانی می‌شود، زیرا سازمان‌ها باید سیستم‌ها، داده‌ها و سایر پیکربندی‌های حیاتی خود را بازسازی کنند.» “اگر نقض شامل از دست دادن داده های حساس باشد، به ویژه اگر شامل اطلاعات قابل شناسایی شخصی باشد، یا تحت قوانین حفاظت از داده ها، مانند GDPR یا HIPAA باشد، سازمان ها می توانند هزینه های قانونی و نظارتی بیشتری را متحمل شوند.”

طبق گزارش Sophos، زمان بازیابی از حملات باج‌افزار برای سازمان‌هایی که پشتیبان‌گیری در معرض خطر دارند نیز طولانی‌تر است. تنها 26 درصد از افرادی که نسخه پشتیبان در معرض خطر قرار داشتند، در عرض یک هفته پس از حمله بهبود یافتند، در مقایسه با 46 درصد از کسانی که نسخه پشتیبان در معرض خطر قرار نداشتند.

پشتیبان گیری آفلاین: امنیت در مقابل هزینه

این گزارش اشاره کرد که احتمالاً دلایل متعددی پشت اختلاف در زمان‌های بازیابی بین سازمان‌هایی با نسخه‌های پشتیبان به خطر افتاده و غیرقابل نفوذ وجود دارد، که کمترین آن کار اضافی است که معمولاً برای بازیابی از داده‌های رمزگشایی شده به جای پشتیبان‌گیری به خوبی آماده شده لازم است. همچنین ممکن است محافظت ضعیف‌تر پشتیبان نشان‌دهنده دفاع کمتر قوی و در نتیجه کار بازسازی بیشتر باشد.

نارایانا پاپو، مدیر عامل Zendata، یک شرکت جمع‌آوری، مدیریت و اشتراک‌گذاری داده مستقر در سانفرانسیسو، گفت: «پشتیبان‌ها معمولاً سطح کنترل‌های امنیتی مشابه سیستم‌های تولید را ندارند.

او به TechNewsWorld گفت: «پیاده‌سازی گزارش‌های مشابه، کنترل‌های امنیتی و دسترسی، و آزمایش روی سیستم‌های پشتیبان کمک زیادی خواهد کرد. علاوه بر این، داشتن چندین نسخه پشتیبان در مکان‌های مختلف – چه در فضای ابری و چه در حالت آفلاین – با طرح بازیابی بلایا باعث کاهش زمان خرابی می‌شود.»

فچنر خاطرنشان کرد: در حالی که پشتیبان‌گیری آفلاین راه خوبی برای خنثی کردن تهدیدات پشتیبان‌گیری است، می‌تواند گران باشد. او گفت: «اگر نسخه‌های پشتیبان دارید که آفلاین هستند و برای مهاجمان در دسترس نیستند، پس چیزی برای پشتیبان‌گیری دارید. اما از آنجایی که بسیاری از سازمان‌ها نمی‌توانند از عهده این کار برآیند، به‌ویژه وقتی قربانیان زیادی در رده کسب‌وکارهای کوچک و متوسط ​​هستند، حمله به نسخه‌های پشتیبان همچنان برای مهاجمان مثمر ثمر است.»

یادداشت سردبیر: گزارش Sophos در قالب PDF موجود است. نیازی به پر کردن فرم نیست

منبع: https://www.technewsworld.com/story/ransomware-gangs-targeting-backups-to-maximize-payoffs-179097.html?rss=1