Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Idzie nowe w ransomware: ~10 000 000 PLN zysku w kilka miesięcy dzięki takiej oto wyrafinowanej strategii…
Twórcy ransomware wyciągają wnioski – klient detaliczny nie chce jakoś dużo płacić, więc może warto:
- wycelować w duże (czyt. bogate) firmy
- po pierwszym włamaniu zrobić dalszy rekonesans infrastruktury – poszukiwanie najcenniejszych zasobów
- „poprosić” o okup – nawet do roku od czasu włamania (może już nie ma części backupów?)
- zróżnicować kwoty okupu
Proceder realizowany przez grupę „GRIM SPIDER” przyniósł w kilka miesięcy około 705 BTC.
Początek infekcji jest standardowy – czyli mail phishingowy. Również standardowy jest finał (szyfrowanie zasobów). Niestandardowy jest jak widać „dodatkowy wysiłek ludzki”, mogący sabotować dodatkowo pewne ważne z punktu widzenia ofiary operacje:
net, and sc commands normally used by Ryuk to terminate processes and stop services related to anti-virus, backup, and database software.
Wyobraźcie sobie sytuację: po cichu wyłączamy backupy, czekamy rok, a na koniec szyfrujemy zasoby…
–ms
Trochę straszno, że poważne firmy przez rok nie są w stanie zauważyć braku backupów…
Serio ? Przez rok czasu nikt nie sprawdza kopii ? Nie testuje odtwarzania ? :)))
serio myślę że wiele firm testy odtworzeniowe robi bardzo rzadko lub w ogóle…
Backup Schroedingera
Jesli firma nie monitoruje uslug na koncowka h i nie zauwaza wylaczonego AV, braku backupow to w takim razie atak byl na male firmy gdzie mamy 1-100 uzytkownikow + tr w ktorych jest balaga i IT powinno byc wymienione.
Istatio robiłem pentest jednej z większych firm zajmujących się energiami odnawialnymi.
Nie mieli pojęcia że ich antywirusy się nie aktualizują od ponad 5 lat na końcówkach. Owszem, nie wszystkich ale jednak.