mboost-dp1

Shutterstock

Stigende antal ransomwareangreb rammer danske virksomheder

- Via Mobilsiden -

Danske virksomheder oplever et stigende antal ransomwareangreb, hvor hackerne kræver løsesum for at give kontrollen over virksomhedens data tilbage.

Ifølge it-virksomheden Veeam sker der flere hundrede angreb dagligt i Danmark.

Angrebene sker ofte gennem phishing, hvor medarbejdere klikker på links i falske e-mails.

Hackerne er blevet mere udspekulerede og venter med at kryptere data, indtil de er helt inde i virksomhedens it-infrastruktur.

Et nyligt ransomwareangreb ramte det danske hostingselskab Azerocloud og alle dets kunder, hvor al data blev krypteret og gjort utilgængeligt.

Kun 16% af de angrebne virksomheder er i stand til at gendanne data uden at betale løsesummen.





Gå til bund
Gravatar #1 - dugfrisk
29. aug. 2023 08:54
Måske er danske virksomheder for fjernkontrollerende
Gravatar #2 - larsp
29. aug. 2023 11:15
Hav offline backups, med manuel håndtering til at flytte disks offline og online.

Vil man ikke det, bør man have et "pull baseret" backup system hvor en backup server på eget initiativ logger på den aktive data server og trækker et snapshot. Der må ikke være scripts eller lignende på data serveren der kan tilgå backup serveren, og det login backup serveren har på data serveren skal kun give readonly rettigheder. På den måde kan en hacker ikke destruere/kryptere begge datasæt ved at kompromittere hhv. data serveren eller backup serveren.

Har man først teknikken til at lave een pull baseret backup server kan men nemt lave flere afhængigt af paranoia niveau.

Jeg ved at dette bliver langt sværere ved store data-center mængder af data, men til små og mellemstore virksomheder kan det altså SAGTENS lade sig gøre at lave backup systemer der ikke kan fuckes up.
Kun 16% af de angrebne virksomheder er i stand til at gendanne data uden at betale løsesummen.
Pinligt.
Gravatar #3 - dugfrisk
29. aug. 2023 19:51

Gravatar #4 - JønneTranumPaulsen
30. aug. 2023 06:23
Hav offline backups, med manuel håndtering til at flytte disks offline og online.


Hva pokker hjælper det?
Problemet her er lidt som bitlocker. Det krypterer alt hvad der er på disken - ALT. Og lige Azerocloud havde det problem. Hele deres infrastruktur var krypteres, og da alle kunder i bund og grund bare ligger i en håndfuld datafiler, så er de jo også krypteret. Det havde været der så længe at backup'en med måske 3,4-8 måneder bagud alle var krypteret.
Men med bitlocker og andet, der ligger lige noget hen over der hele tiden kender nøglen og gør det læsbart. Prøv gæt hvad der skete da nøglen ikke fulgte med da da flyttede nogen servere?
Du mener så at hvis man hiver det hele på bånd, så er bitlocker kode og alt glemt??
Nej. Det du tager kopi af er det binære på disken, hvilket er krypteret. Så når du restorer filerne - så skal nøglen være der, eller er data ulæseligt!

Den eneste måde du kan undgå det på, er ved at opdage at du er inficeret (hvilket er pænt svært) og mens man har adgang til data, skal de transporteres - ikke binært 1:1, men på applikations niveau, til et andet autonomt system. Kan det non-inficerede miljø vise data - så har du dem.

Hvis din backup skal kunne gøre det samme, så skal den kunne samtlige filformater, hvordan data ligger gemt og er det versions differencer (prøv bare at restore en SQL 2016 bakfil til 2014!) og kunne verificere at det der står i filen er læsbart, rent menneskeligt. Lav det og du bliver milionær!
Gravatar #5 - Stallemanden
30. aug. 2023 09:11
Jeg er ikke ekspert i backup løsninger, men er af den overbevisning, at de fleste/mange finder frem til, hvad der skal laves backup af, ud fra checksum.

Så, er en hel disk krypteret, ændrer man vel sagtens checksum og backup-systemet vil tage fat i alle data, da de jo er ændrede.
Det er vel noget et backup-system kan advare om? At nu er der uforholdsvis meget data der har ændret sig.

Er finten mon så, at disse ransomware banditter, har lavet det så smart, at de ikke krypterer store mængder data på én gang, men gør det over lang tid?
Gravatar #6 - CableCat
30. aug. 2023 09:58
#4

JønneTranumPaulsen (4) skrev:
[quote]
Nej. Det du tager kopi af er det binære på disken, hvilket er krypteret. Så når du restorer filerne - så skal nøglen være der, eller er data ulæseligt!


Hvis hackeren kyptere data på HD og gemmer krypteringsnøglen i RAM, i håb om der kun bliver taget backup af HD, er løsning at også dumpe en kopi af RAM.

Altså ens virtualaserings mølijø skal være airgapped fra de servere der virtualiseres og internettet, og der skal tages backup af et snapshot af de virtuallere servere. Så kan man altid rulle tiden tilbage.



Gravatar #7 - larsp
30. aug. 2023 11:20
JønneTranumPaulsen (4) skrev:
Hva pokker hjælper det?

Backup servicen trækker filerne på applikations niveau. Dvs. hvis filserveren gemmer krypteret på disken, vil filserveren (før hackerne sletter nøglerne) stadig kunne levere filerne til backup servicen. Man tager ikke daglig backup ved at klone partitioner...

Cold storage backup (bedre ord end offline) princippet er bare en idé til en pragmatisk måde man kan øge robusthed af backups for mindre teams og organisationer. Hver dag tager en ansat backup disken ud og sætter den næste i så de bliver cyklet. Et backup script kører om natter og gemmer et snapshot af hele datasættet. Dvs. hvert drev får et snapshot for hver fjerde arbejdsdag. Snapshottene er relative så der kan ligge måneder af snapshots på ét drev. Eller lignende. Hvis lynet slår ned og rister al elektronik bliver offline drevene ikke ramt. Hvis en hacker kommer ind kan vedkommende ikke umiddelbart tilgå offline drev. Chefen kan tage et af drevene med hjem periodisk, så der er en backup hvis kontoret brænder ned. Osv.

Hvis hackerne virkelig har haft adgang og inkrementelt forgiftet gamle filer længe nok til at alle backups af gode filer er blevet overskrevede, så kan de selvfølgelig stadig lave stor skade. Men det er ikke lige til.

Jeg tror at for mange af de virksomheder der er ramt, har der slet ikke været robuste backup systemer overhovedet med uafhængige backup servere med der gemmer snapshots godt tilbage i tiden.
Gravatar #8 - arne_v
30. aug. 2023 14:41
larsp (7) skrev:

JønneTranumPaulsen (4) skrev:

Hva pokker hjælper det?

Backup servicen trækker filerne på applikations niveau. Dvs. hvis filserveren gemmer krypteret på disken, vil filserveren (før hackerne sletter nøglerne) stadig kunne levere filerne til backup servicen.


Fil server er nok noget af det relative nemme. Man beder fil server om at levere filerne som slutbrugerne også skal bruge dem altså ukrypteret.

Men hvad med database servere. Der skal laves et database dump. Og det kræver et custom script per database type (Oracle DB, IBM DB2, MySQL, PostgreSQL) som skal integreres med den backup service. Muligt men mere arbejde.

Og hvad med custom applikationer som gemmer i eget krypteret format på disk. Det er langtfra sikkert at de applikationer har en egnet dump feature.

larsp (7) skrev:

Man tager ikke daglig backup ved at klone partitioner...


Al ovenstående baserer sig på at man enten har mulighed for at lukke systemet ned under backup eller ikke har noget krav om konsistens af data (at backuppen afspejler diskens indhold på et bestemt tidspunkt - i modsætning til at indeholde directory Foo fra kl. 02:07, directory Bar fra kl. 02:13, directory FooBar fra kl. 03:01).

Hvis dette ikke er tilfældet d.v.s. at man har behov for både 24x7 drift og konsistens, så har man brug for snapshot funktionalitet.

Nogle databaser kan lave det og det er fint.

Men for en generel løsning er mange nødt til at falde tilbage til et storage system som kan lave snapshot og det betyder reelt backup af fysisk data på disk ikke logisk data fra applikationer.

Så det kan godt være lidt mere tricky.
Gå til top

Opret dig som bruger i dag

Det er gratis, og du binder dig ikke til noget.

Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.

Opret Bruger Login