Az utolsó bástyákat is lerombolják a zsarolóvírusok

​A zsarolóvírusok terjesztői a biztonsági mentéseket is célkeresztbe állították. Ezzel pedig tovább tetézik a legtöbbször amúgy is nagyon komoly károkozásaikat.
 

A fájltitkosító zsarolóvírusok egyik legjobb ellenszere a rendszeres biztonsági mentés. Ezekből ugyanis helyreállíthatóvá válhatnak a tönkretett állományok anélkül, hogy fizetni kellene a zsarolóknak. Persze ettől még a károk így is tetemesek lehetnek, hiszen egy-egy ilyen támadás során akár teljes hálózatok bénulhatnak meg, és a nagymennyiségű adatvisszatöltés idő-, illetve erőforrásigényes feladat.
 
Lerombolt mentések
 
A támadók egyre több módszert vetnek be annak érdekében, hogy a célpontjaik által készített biztonsági mentéseket a fájlok titkosítása előtt töröljék. Legutóbb a DoppelPaymer zsarolóprogram kapcsán merült fel, hogy az elkövetők kifejezetten ráhangolódtak az áldozatoknál lévő vagy akár a felhőben tárolt mentések megkaparintására. Ezzel pedig duplán növelik a kockázatokat. Egyrészt a felhős mentésekhez való hozzáférés megszerzését követően a saját szervereikre visszaállíthatják a kompromittálandó kiszolgálók féltve őrzött adatait, fájljait, amikkel aztán a későbbiekben tovább zsarolhatják a szervezeteket. Másrészt pedig a teljes mentést törölhetik, így a helyreállítást ellehetetleníthetik.
 
A DoppelPaymerrel végrehajtott támadások eddig elsősorban a vállalatok körében széles körben használt Veeam alkalmazásokat állították célkeresztbe. Ugyanakkor fontos hangsúlyozni, hogy az ilyen jellegű károkozások bármely más hasonló védelmi eszköz ellen indulhatnak, így sokkal fontosabb magára a támadási felületre koncentrálni.
 
Amikor a csalók megfertőznek egy hálózatba kötött számítógépet (például adathalász leveleken, egyéb károkozókon vagy akár nem megfelelően védett távoli asztali kapcsolatokon keresztül), akkor arról megpróbálnak különféle kiszolgálókhoz adminisztrátori jogosultságokat szerezni. Ehhez olyan eszközöket is felhasználhatnak, mint amilyen például a Mimikatz. Ha pedig megszerzik a rendszergazdai jelszót, akkor elkezdik felkutatni a Veeam szervereket. Ha azok Windows alapú hitelesítéssel is hozzáférhetők, akkor szabaddá válik az út a mentések feletti teljes irányítás átvétele előtt.
 
A Veeam a hasonló esetek elkerülése érdekében azt javasolja, hogy a mentések menedzselésére szolgáló rendszerek a lehetőségekhez mérten mindig legyenek elkülönítve, és azokhoz egyedi hozzáférési adatok tartozzanak. Emellett érdemes mindig legalább három különböző biztonsági mentéssel dolgozni, amelyek lehetnek felhőben, helyi adattárolókon, illetve offline adathordozókon.