Ransomware

Ransomware je škodlivý kód, který zamyká přístup k napadenému zařízení nebo datům, případně šifruje jejich obsah tak, aby se k nim uživatel nemohl dostat. Útočník následně po své oběti požaduje výpalné (anglicky ransom, proto tedy “Ransomware”) za opětovné zpřístupnění dat. V rámci Geetoo jsme se setkali s případy kdy se naši klienti stali oběťmi tohoto typu útoku. 

Pokud zákazník využívá služby Geetoo Cloud Compute, jsou jeho data standartně automaticky zálohovaná každou noc a uchovávaná po dobu 14 dnů. Z bezpečnostních důvodů nemá k této záloze přímý přístup klient, a tedy ani případný útočník (například prolomením přihlašovacích údajů). V případě zašifrování uživatelských dat jsme tedy schopni data obnovit ze zálohy k požadovanému datu.

Situace se stává závažnější v případech, kdy si klient spravuje vlastní prostředí včetně zálohovacího nástroje a toto prostředí je kompromitováno útočníkem. Modus operandi nedávných útoků totiž spočívá v tom, že si útočník po získání přístupu do prostředí toto prostředí náležitě zmapuje a před samotným zašifrováním dat smaže veškeré zálohy na které narazí, jen tak má totiž jistotu, že nebohá oběť bude nucena přistoupit na jeho podmínky a zaplatit požadované výkupné, pokud tedy chce svá data zpátky.

I pro tyto klienty, kteří si data ze svého prostředí zálohují k nám máme řešení, jak si je zabezpečit a ochránit proti smazání třetí nepovolanou osobou.

S3 object lock

první možnost je použít naši S3 storage jako cíl pro ukládání záloh. Drtivá většina aktuálně používaného backup software (Veeam, Commvault, Cohesity, Veritas, atd.) zálohování do S3 podporují.  Následně je možné u požadovných dat (v našem případě dat záloh) zapnout funkci tkzv. object-lock. V takovém případě jsou data s touto funkcí po uživatelem definovanou dobu nesmazatelná. Tedy v případě že se útočník k daným datům dostane, nemůže je po definovanou dobu smazat. Smazat je nemůže nikdo, tedy ani uživatel ani administrátor. 

Cloud Connect Insider Protection

pro zákazníky používající Veeam Cloud Connect technologii je možné aktivovat funkci Insider Protection. Pokud je tato funkce aktivovaná a dojde ke smazaní zálohy na serveru, data nejsou okamžitě smazaná, ale jsou přesunutá do dočasného “koše” z kterého se stále po určitou dobu dají obnovit. Tedy i v případě že útočník před zašifrováním získá přístup do Veeam Serveru a smaže veškeré zálohy, včetně těch na Cloud Connect repository, jsou tato data stále několik dní k dispozici u nás na serveru. K těmto datům v dočasné lokalitě nemá uživatel přístup, jsou tedy bezpečná.