بر اساس گزارشی که توسط یک شرکت امنیت سایبری منتشر شده است، پشتیبانگیری از دادهها به هدفی ضروری برای بازیگران باجافزار تبدیل شده است.
این تحقیق که توسط Sophos حمایت شد و بر اساس نظرسنجی از نزدیک به 3000 متخصص فناوری اطلاعات و امنیت در 14 کشور انجام شد، نشان داد که 94 درصد از سازمانهایی که در سال گذشته مورد حمله باجافزار قرار گرفتهاند، گفتهاند که عوامل تهدید تلاش کردهاند تا نسخههای پشتیبان خود را در طول حمله به خطر بیاندازند.
برای سازمانها در بخشهای دولتی، رسانهها، اوقات فراغت و سرگرمی، این اعداد حتی بالاتر بود: 99٪.
این گزارش توضیح داد که دو راه اصلی برای بازیابی اطلاعات رمزگذاری شده در یک حمله باجافزار وجود دارد: بازیابی از نسخههای پشتیبان و پرداخت باج.
محققان نوشتند: «به خطر انداختن پشتیبانهای یک سازمان، بازیگران باجافزار را قادر میسازد تا توانایی قربانی خود را برای بازیابی دادههای رمزگذاریشده محدود کنند و با انجام این کار، فشار پرداخت را کاهش دهند».
کورتیس فچنر، رهبر تهدیدات سایبری در Optiv، ارائهدهنده راهحلهای امنیت سایبری که مقر آن در دنور است، میگوید: «این به یک بخش رایج از فیلمنامه این افراد در حملات خود تبدیل شده است.
او به TechNewsWorld گفت: «آنها همیشه سعی میکنند مکانهای پشتیبانگیری را پیدا کنند و آنها را غیرقابل دسترس کنند. بخشی از محاسبات آنها برای دریافت پول، یافتن پشتیبانگیری است، زیرا آنها میخواهند میزان درآمدی را که میتوانند از حمله به دست آورند، به حداکثر برسانند.
«اگر نسخههای پشتیبان شما را آفلاین و بهعنوان وسیلهای برای بازیابی برداشته باشم، احتمال پرداخت شما را بیشتر کردهام، اما میتوانم شما را بیشتر فشار دهم زیرا میدانم که مستأصل هستید. فچنر افزود: من می دانم که شما در تنگنا هستید.
تهدید در حال تکامل
ایلیا سوتنیکوف، یک استراتژیست امنیتی و معاون تجربه کاربری در Netwrix، یک شرکت نرمافزار امنیت فناوری اطلاعات که مقر آن در فریسکو، تگزاس است، توضیح داد: زمانی که باجافزار سازمانی حدود 10 سال پیش شروع به کار کرد، چندان پیچیده نبود.
بدافزار باجافزار از پیکربندیهای ناامن یا آسیبپذیریهای سیستم برای انتشار سریع در محیط استفاده میکند و تمام دادههایی را که این بدافزار به آنها دسترسی پیدا میکند رمزگذاری میکند. در نتیجه، از قربانی اخاذی شد تا باج را برای یک کلید رمزگشایی برای بازگرداندن عملیات خود بپردازد.
وی گفت: «صنعت امنیت سایبری با رویکرد امنیتی چند لایه مبتنی بر قابلیتهای حفاظتی و شناسایی بهتر و همچنین نظم و انضباط پشتیبانگیری و بازیابی به این تهدید پاسخ داد.» در نتیجه، سازمانها بیشتر حملات را منحرف کردند، تعداد حملات موفق را به حداقل رساندند و یاد گرفتند که چگونه به طور موثر سیستمها و عملیاتها را بدون پرداخت باج بازیابی کنند.»
به نوبه خود، او ادامه داد، استراتژی باج افزار برای افزایش شانس موفقیت با جستجوی راه های جدید برای مقابله با اقدامات امنیتی تکامل یافته است. بدافزارها گریزان تر شدند. مجرمان شروع به صرف زمان بیشتری در مرحله شناسایی برای شناسایی و هدف قرار دادن حساس ترین داده ها کردند. باندهایی مانند Maze و LockBit شروع به استخراج داده های شرکت کردند و خطر نشت داده های عمومی را به رمزگذاری اضافه کردند – طرحی که به عنوان اخاذی مضاعف شناخته می شود.
او افزود: «از آن زمان، مهاجمان باجافزار نیز شروع به هدف قرار دادن نسخههای پشتیبان کردهاند تا بازیابی را غیرممکن یا بسیار پرهزینه کنند و قربانیان را مجبور به پرداخت باج کنند».
پشتیبان گیری پایین، باج بالا
Sophos گزارش داد که قربانیانی که پشتیبانهایشان به خطر افتاده بود، باجگیری دریافت کردند که بهطور میانگین بیش از دو برابر کسانی بود که پشتیبانهایشان تحت تأثیر قرار نگرفت. متوسط باج خواهی برای قربانیان دارای نسخه پشتیبان در معرض خطر 2.3 میلیون دلار آمریکا بود، در مقایسه با یک میلیون دلار برای قربانیان با نسخه پشتیبان به خطر افتاده.
پشتیبانگیری یک شبکه ایمنی برای سازمانها فراهم میکند. با این حال، اگر این نسخه پشتیبان به خطر بیفتد و سازمان دچار حمله سایبری شود، ممکن است بازیابی دسترسی به شبکهها و دادههای آنها ناامیدتر باشد.»
او به TechNewsWorld گفت: مهاجمان متوجه میشوند که با حذف دسترسی به نسخه پشتیبان، سازمانها آسیبپذیرتر میشوند و گزینههای کمی به جز پاسخگویی به درخواستهای باجگیری گزاف برای بازگرداندن دادههای خود باقی میمانند.
این ناتوانی سازمانهایی که پشتیبانگیری در معرض خطر دارند در مذاکره با بازیگران باجافزار توسط تحقیقات Sophos پشتیبانی میشود. این نشان داد که افرادی که نسخه پشتیبان در معرض خطر قرار داشتند، به طور متوسط 98٪ از باج درخواستی را پرداخت کردند، در حالی که 82٪ بدون نسخه پشتیبان به خطر افتاده بود.
این گزارش همچنین خاطرنشان کرد که سازمانهایی که نسخههای پشتیبانشان به خطر افتاده است، تقریباً دو برابر بیشتر از سازمانهایی که پشتیبانهایشان تحت تأثیر قرار نگرفته بود، برای بازیابی دادههای رمزگذاریشده (67 درصد) باج میپردازند (36 درصد).
قیمت بالاتر بازیابی
قربانیانی که نسخههای پشتیبان در معرض خطر قرار دارند، نه تنها باج بیشتری میپردازند، بلکه هزینه بیشتری نیز برای بازیابی پس از حمله پرداخت میکنند.
میانگین کلی هزینه های بازیابی باج افزار برای سازمان هایی که نسخه پشتیبان آنها به خطر افتاده است، هشت برابر (3 میلیون دلار) بیشتر از سازمان هایی است که نسخه پشتیبان آنها تحت تأثیر قرار نگرفته است (375000 دلار).
گوچیونه توضیح داد که هزینههای بازیابی سازمانهایی که قربانی حملات باجافزاری میشوند شامل از دست دادن درآمد به دلیل اختلال در عملکرد و آسیب به شهرت برند، تلاشهای بازیابی فوری و طولانیمدت، هزینه پرداخت باج و همچنین امکان جریمه است. و سایر تعهدات قانونی بالقوه
او گفت: «زمانی که حمله باجافزار شامل پشتیبانگیری نیز میشود، فرآیند بازیابی بهطور قابلتوجهی طولانی میشود، زیرا سازمانها باید سیستمها، دادهها و سایر پیکربندیهای حیاتی خود را بازسازی کنند.» “اگر نقض شامل از دست دادن داده های حساس باشد، به ویژه اگر شامل اطلاعات قابل شناسایی شخصی باشد، یا تحت قوانین حفاظت از داده ها، مانند GDPR یا HIPAA باشد، سازمان ها می توانند هزینه های قانونی و نظارتی بیشتری را متحمل شوند.”
طبق گزارش Sophos، زمان بازیابی از حملات باجافزار برای سازمانهایی که پشتیبانگیری در معرض خطر دارند نیز طولانیتر است. تنها 26 درصد از افرادی که نسخه پشتیبان در معرض خطر قرار داشتند، در عرض یک هفته پس از حمله بهبود یافتند، در مقایسه با 46 درصد از کسانی که نسخه پشتیبان در معرض خطر قرار نداشتند.
پشتیبان گیری آفلاین: امنیت در مقابل هزینه
این گزارش اشاره کرد که احتمالاً دلایل متعددی پشت اختلاف در زمانهای بازیابی بین سازمانهایی با نسخههای پشتیبان به خطر افتاده و غیرقابل نفوذ وجود دارد، که کمترین آن کار اضافی است که معمولاً برای بازیابی از دادههای رمزگشایی شده به جای پشتیبانگیری به خوبی آماده شده لازم است. همچنین ممکن است محافظت ضعیفتر پشتیبان نشاندهنده دفاع کمتر قوی و در نتیجه کار بازسازی بیشتر باشد.
نارایانا پاپو، مدیر عامل Zendata، یک شرکت جمعآوری، مدیریت و اشتراکگذاری داده مستقر در سانفرانسیسو، گفت: «پشتیبانها معمولاً سطح کنترلهای امنیتی مشابه سیستمهای تولید را ندارند.
او به TechNewsWorld گفت: «پیادهسازی گزارشهای مشابه، کنترلهای امنیتی و دسترسی، و آزمایش روی سیستمهای پشتیبان کمک زیادی خواهد کرد. علاوه بر این، داشتن چندین نسخه پشتیبان در مکانهای مختلف – چه در فضای ابری و چه در حالت آفلاین – با طرح بازیابی بلایا باعث کاهش زمان خرابی میشود.»
فچنر خاطرنشان کرد: در حالی که پشتیبانگیری آفلاین راه خوبی برای خنثی کردن تهدیدات پشتیبانگیری است، میتواند گران باشد. او گفت: «اگر نسخههای پشتیبان دارید که آفلاین هستند و برای مهاجمان در دسترس نیستند، پس چیزی برای پشتیبانگیری دارید. اما از آنجایی که بسیاری از سازمانها نمیتوانند از عهده این کار برآیند، بهویژه وقتی قربانیان زیادی در رده کسبوکارهای کوچک و متوسط هستند، حمله به نسخههای پشتیبان همچنان برای مهاجمان مثمر ثمر است.»
یادداشت سردبیر: گزارش Sophos در قالب PDF موجود است. نیازی به پر کردن فرم نیست
منبع: https://www.technewsworld.com/story/ransomware-gangs-targeting-backups-to-maximize-payoffs-179097.html?rss=1