Histórias de Terror de Ransomware
Durante meu tempo trabalhando nas trincheiras da Proteção de Dados, encontrei ransomware inúmeras vezes. Essas foram verdadeiras histórias de horror onde os proprietários de negócios foram levados à beira da falência ou perda total de reputação. A seguir, uma breve coleção de pensamentos e descrições da minha história de horror sobre ataques de ransomware.
No começo, havia a simples restauração
Nunca esquecerei a primeira vez que recebi uma ligação após um cliente ter sido atingido por um estranho novo vírus que havia criptografado todos os seus arquivos. Eles tentaram de tudo, mas não conseguiram descobrir como colocar seu negócio de volta em funcionamento. Essa experiência foi difícil, mas uma rápida restauração completa do último backup resolveu o problema, e todos ficaram felizes.
Infelizmente, isso não iria embora, e não demorou muito para que a próxima ligação chegasse algumas semanas depois. Essa foi uma história de horror que iria ser contínua e em constante evolução.
Aumentando a Aposta
Não demorou muito para que os criadores de ransomware percebessem que os backups estavam dificultando seus esforços de extorsão e, portanto, precisavam ser neutralizados.
A sequência monótona de chamadas comuns de ransomware terminou abruptamente quando, um dia, o cliente anunciou que seus backups também haviam sido criptografados. Os maus atores haviam criptografado o servidor de backup e o repositório NTFS localizado no disco local do servidor de backup. Essa era uma configuração típica em muitas organizações de médio a pequeno porte. Felizmente, o cliente também tinha trabalhos de backup em fita, e conseguimos restaurar um backup um pouco mais antigo, mas ainda assim bom. Ficou cada vez mais evidente que quando se tratava de proteção contra ransomware, mais backups eram definitivamente melhores.
Eles evoluem, nós evoluímos
Após esse incidente, começamos a dizer aos nossos clientes para remover o servidor VBR do domínio de produção e ter backups fora do site ou backups offline. No passado, pensávamos em backups fora do site principalmente do ponto de vista de desastres, em outras palavras, problemas físicos potenciais no data center local, mas com o advento do ransomware, a importância de manter uma cópia extra fora do site tornou-se essencial.
No entanto, não demorou muito para que tivéssemos nosso primeiro caso de backups em nuvem deletados. As gangues de ransomware descobriram como deletar os trabalhos de cópia de backup do Cloud Connect assim que assumiram o controle do servidor VBR. Em resposta a isso e a ameaças internas, a Veeam adicionou proteção contra insiders, que moveria quaisquer backups deletados para uma lixeira oculta. No entanto, os criminosos astutos foram, em alguns casos, capazes de reduzir a retenção de backups e criptografar os últimos backups, o que afetou esse mecanismo defensivo. Era necessário algo mais!
Entre a Imutabilidade
O sistema de arquivos Linux suporta o bit imutável há bastante tempo. No entanto, isso foi apenas relativamente recente combinado com os backups da Veeam para criar backups sólidos e inamovíveis.
Agora, mesmo que o mau ator assumisse o controle do servidor VBR, ainda assim não seria capaz de deletar os backups.
Adicionar imutabilidade, pensamos que era a solução, o alho para nossos vampiros de ransomware!
Halloween todos os dias!
Infelizmente, as histórias de horror não terminaram aí. Infelizmente, nossos inimigos assustadores elaboraram novos métodos para minar as defesas de proteção de dados. Ao colocar ransomware dormente nos sistemas atacados, eles podiam infectar os backups de modo que, mesmo que não pudessem deletá-los, simplesmente reinfectariam a vítima logo após todas as restaurações terem sido concluídas. Esse foi talvez um dos cenários mais assustadores e ruins, pois as montanhas-russas emocionais de ter que realizar várias sessões de restauração em vários dias seguidos desgastariam significativamente as equipes de TI. Eles restauravam seus sistemas apenas para encontrá-los reinfectados novamente logo depois. Batalhas intensas ocorreram usando métodos de detecção de ransomware e antivírus, resultando em mais tempo de inatividade e estresse para os clientes afetados.
Quando se trata de Ransomware, o Halloween não acontece uma vez por ano, mas é uma ameaça diária e repetitiva. A forma de trick-or-treating das gangues de ransomware é simplesmente muito lucrativa para que eles desistam, e a cada nova defesa, eles tentam encontrar algum tipo de brecha para continuar em seus caminhos malignos, mas altamente lucrativos.
A única solução é espantar os fantasmas!
ZTDR, ou Zerto Trust Data Resilience, é a nova estratégia da Veeam para espantar os demônios do Ransomware. Seus princípios incluem assumir a violação, segmentar o armazenamento de backup longe dos outros componentes da configuração de Proteção de Dados, testar backups para infecções aproveitando a varredura inline e regras Yara, e, claro, garantir que todos os seus backups sejam imutáveis!
Se você não quer entrar no cemitério de ransomware de dados empresariais criptografados, então certifique-se de seguir o ZTDR