Cum să îți protejezi backup-urile de atacurile ransomware sofisticate. Soluții care îți fac viața mai ușoară, dar și mai sigură
Atacurile ransomware au evoluat din simple tentative de blocare a accesului la date în campanii extrem de bine coordonate, ce vizează mai întâi și mai ales sistemele de backup, ultima ta linie de apărare. Înainte de a cripta mediul de producție, atacatorii vizează backup-urile pentru a-ți bloca orice posibilitate de recuperare, crescând astfel șansele ca victimele să plătească răscumpărarea cerută. Aceste atacuri sunt planificate meticulos pentru a anula orice apărare: atacatorii dezactivează agenții de backup, șterg snapshot-uri, modifică politicile de retenție, criptează volumele de backup (în special cele accesibile prin rețea) și exploatează vulnerabilități în platformele integrate de backup, scrie The Hacker News. Prin urmare, un mediu de backup construit fără a ține cont de acest peisaj amenințător evolutiv este extrem de vulnerabil. Greșeli comune care expun backup-urile Lipsa unei separări clare între sistemele de producție și cele de backup este una dintre cele mai mari vulnerabilități. Backup-urile locale sau snapshot-urile aflate în același mediu cu serverele de producție pot fi ușor descoperite, șterse sau criptate. Lipsa izolării adecvate permite atacatorilor să se deplaseze lateral prin rețea, compromițând rapid întreaga infrastructură. Metodele frecvente prin care atacatorii compromit backup-urile includ exploatarea Active Directory pentru escaladare de privilegii, preluarea gazdei virtuale prin vulnerabilități ale hypervisorului, atacuri asupra software-ului de backup pe Windows și exploatarea CVE-urilor cunoscute. De asemenea, încrederea exclusivă într-un singur furnizor cloud pentru backup poate duce la pierderi totale, mai ales dacă infrastructura de backup și sistemele de producție sunt în același ecosistem. Astfel, cu credențiale furate, atacatorii pot compromite ambele simultan. Strategia 3-2-1-1-0 pentru backup-uri rezistente Regula clasică 3-2-1 (3 copii ale datelor, pe 2 medii diferite, cu 1 copie offsite) nu mai este suficientă. Noua strategie 3-2-1-1-0 recomandă: 3 copii ale datelor (1 producție + 2 backup-uri) pe 2 medii diferite (ex: disc local și stocare cloud) cu 1 copie offsite, izolată geografic 1 copie imuabilă (care nu poate fi modificată sau ștearsă) 0 erori – backup-urile trebuie testate și monitorizate constant Pe lângă acestea, mediul de backup trebuie consolidat cu bune practici: rețele segmentate fără trafic inbound din internet, control strict al accesului cu roluri și autentificare multifactor (MFA), criptarea datelor la nivel de agent, sisteme păstrate actualizate și dispozitive protejate fizic. Securizarea backup-urilor cloud Pentru protecția în cloud este crucială segmentarea și izolarea completă față de mediul de producție. Backup-urile trebuie stocate într-un alt ecosistem cloud, cu autentificare separată, fără credențiale partajate. Astfel, un atac asupra mediului de producție nu afectează datele de backup.
Avertismentul Kaspersky – Atacurile de tip ransomware au crescut și o vor mai face. Cum te păzești de escroci
Kaspersky avertizează despre o creștere globală a incidentelor ransomware, cu accent pe tacticile emergente bazate pe AI și vulnerabilități neglijate, în preajma Zilei Internaționale de Luptă Împotriva Ransomware. În perspectiva Zilei Internaționale de Luptă Împotriva Ransomware (12 mai), Kaspersky a publicat raportul global privind amenințările de tip ransomware pentru anul 2025. Conform datelor colectate prin Kaspersky Security Network, Orientul Mijlociu, regiunea Asia-Pacific (APAC) și Africa înregistrează cele mai mari procente de utilizatori afectați, în timp ce America Latină, CSI și Europa au fost mai puțin vizate. Ce s-a întâmplat, de fapt, în perioada 2023-2024 În intervalul 2023–2024, ponderea globală a utilizatorilor implicați în incidente de ransomware a crescut ușor, de la 0,42% la 0,44%. Deși aparent redus, acest procent reflectă natura țintită a acestor atacuri: grupările ransomware vizează entități cu valoare strategică, nu distribuie malware-ul la scară largă. În APAC, companiile mari, în special cele din infrastructură și tehnologie, au fost ținte predilecte, pe fondul unei digitalizări accelerate și al implementării recente a unor legi privind protecția datelor. În Orientul Mijlociu, diversitatea nivelurilor de securitate cibernetică a contribuit la vulnerabilitate. În Africa, atacurile sunt în creștere în țări cu economii emergente precum Nigeria și Africa de Sud, în special în sectorul guvernamental și financiar. Europa, și ea expusă atacurilor ransomware Europa, deși expusă, beneficiază de reglementări stricte și infrastructură matură de apărare cibernetică, ceea ce limitează amploarea atacurilor. Cu toate acestea, sectoare precum educația, agricultura și producția continuă să fie vizate. Raportul subliniază și apariția unor noi tactici de atac. Gruparea FunkSec, activă din decembrie 2024, folosește intens AI pentru a genera cod ransomware dificil de detectat. Modelul Ransomware-as-a-Service (RaaS) continuă să domine, facilitând atacuri complexe chiar și pentru infractori fără competențe avansate. Se preconizează o intensificare a exploatării dispozitivelor IoT, a electrocasnicelor inteligente și a componentelor hardware slab configurate. Utilizarea modelelor lingvistice de mari dimensiuni (LLM) pentru automatizarea codului malware, a campaniilor de phishing și a distribuirii ransomware-ului reprezintă o evoluție îngrijorătoare. Tot mai mulți actori pot desfășura atacuri sofisticate, reducând bariera tehnologică. Marc Rivero, cercetător Kaspersky, recomandă o abordare stratificată a apărării: actualizarea constantă a sistemelor, monitorizarea traficului, backupuri offline, soluții anti-APT și EDR, precum și instruirea periodică a echipelor. Kaspersky oferă și unelte gratuite precum Anti-Ransomware Tool for Business. Raportul complet este disponibil, de altfel, pe Securelist.com.