Categories
Wraz z ewolucją technik ataków ransomware, zagrożenia dla firm nie ograniczają się już tylko do „luk w systemach”. Coraz więcej rzeczywistych przypadków pokazuje, że atakujący często zdobywają legalne uprawnienia administracyjne poprzez kradzież danych uwierzytelniających, naruszenia wewnętrzne lub ruch boczny, a następnie przeprowadzają niszczycielskie ataki na całe środowisko IT.
Ostatnio zaobserwowane kampanie ransomware Qilin wyraźnie reprezentują tę nową generację wzorców ataków.
Gdy „legalne uprawnienia” stają się największą luką w Zabezpieczenia
W tym rzeczywistym incydencie cyberbezpieczeństwa, atakujący skutecznie zdobyli konta o wysokich uprawnieniach w środowisku firmowym i wykorzystali te „legalne dane uwierzytelniające” do uzyskania dostępu do wielu systemów.
Gdy uprawnienia administracyjne trafiają w ręce atakujących, oznacza to:
- Kontrola dostępu przestaje być barierą
- Tradycyjne Antywirus i zapory sieciowe mają trudności z efektywnym działaniem
- Kluczowe systemy firmowe i dane są narażone na pełne ryzyko
Nawet jeśli same systemy nie mają luk, przejęte konto może doprowadzić do całkowitego załamania całej postawy Zabezpieczenia.
Serwer NAS pod atakiem: usługi i dane całkowicie dotknięte
W tym incydencie celem był również Serwer NAS w amerykańskiej instytucji edukacyjnej.
Po uzyskaniu uprawnień administracyjnych, atakujący przeprowadzili destrukcyjne operacje na systemie i usługach Serwer NAS, co skutkowało:
- Szyfrowaniem systemowych i aplikacyjnych dane
- Wpływem na środowiska kontenerowe i zwirtualizowane
- Zakłóceniem wielu krytycznych usług
Cały Serwer NAS niemal całkowicie się zatrzymał, a na pierwszy rzut oka wydawało się, że firmowe dane są zagrożone całkowitym przejęciem.
Kluczowa różnica: niezmienne kopie zapasowe pozostały nienaruszone
Jednak prawdziwy punkt zwrotny tkwił w architekturze kopii zapasowych.
W tym środowisku zespół IT instytucji proaktywnie wdrożył QuObjects jako platformę Pamięć masowa obiektowej dla kopii zapasowych maszyn wirtualnych i włączył Object Lock, obsługując mechanizm niezmiennej Pamięć masowa WORM (Write Once, Read Many).
To rozwiązanie zapewniło zdecydowany efekt ochronny:
- Nawet jeśli atakujący uzyskali najwyższe uprawnienia systemowe
- Nawet jeśli większość usług na Serwer NAS została zaszyfrowana
- Kopia zapasowa dane już zapisana w QuObjects nie mogła zostać usunięta, zmodyfikowana ani zaszyfrowana
Wszystkie kluczowe kopie zapasowe VM dane zostały zachowane w nienaruszonym i bezpiecznym stanie.
Szybkie przywracanie: rzeczywiste unikanie płacenia okupu i przestojów operacyjnych
Po incydencie instytucja musiała jedynie:
- Ponownie wdrożyć system Serwer NAS i powiązane usługi
- Ponownie połączyć QuObjects z istniejącym Object Lock (WORM) dane
- Umożliwiając szybkie odzyskanie pełnych kopii zapasowych i całkowite przywrócenie systemu
Nie zapłacono okupu i nie wystąpiły długotrwałe przestoje operacyjne.
Kluczowe wnioski z tego przypadku
W kontekście ataków ransomware nowej generacji prawdziwą ochroną dla firmy w najgorszym scenariuszu nie jest pojedyncze urządzenie Zabezpieczenia, lecz:
- Niezmienna architektura kopii zapasowych
- Projekt Pamięć masowa obiektów zgodny z zasadami Object Lock i WORM
- Linia obrony dane, która pozostaje nie do przełamania, nawet jeśli uprawnienia administratora zostaną przejęte
Kopie zapasowe nie mogą tylko istnieć; muszą być „nieusuwalne i niepoddające się szyfrowaniu”.
Naprawdę niezawodne kopie zapasowe muszą pozostać skuteczne nawet w najgorszym scenariuszu.
Naprawdę niezawodne kopie zapasowe muszą pozostać skuteczne nawet w najgorszym scenariuszu
W dzisiejszym krajobrazie ransomware przedsiębiorstwa muszą zmierzyć się z trudną rzeczywistością:
konta mogą zostać przejęte, uprawnienia mogą zostać naruszone, a ataki często pochodzą od „legalnych tożsamości”.
Dlatego prawdziwą ochroną dla firmy w krytycznych momentach nie jest pojedyncze narzędzie Zabezpieczenia, lecz architektura kopii zapasowych, która pozostaje nie do przełamania nawet po przejęciu najwyższych uprawnień.
Dzięki QuObjects Object Lock (WORM) przedsiębiorstwa mogą mieć pewność, że kluczowe kopie zapasowe dane nie mogą zostać usunięte, zmodyfikowane ani zaszyfrowane w okresie ich przechowywania, czyniąc kopie zapasowe ostatnią i najbardziej niezawodną linią obrony przed atakami ransomware.
Wartość kopii zapasowej nie polega na tym, „czy można ją przywrócić”, lecz na tym, „czy została skutecznie zachowana”.
To właśnie ta kluczowa zdolność ochronna jest zapewniana przez QNAP QuObjects przedsiębiorstwom w erze ransomware.
