Według opublikowanego przez Veeam raportu Data Protection Trends Report 2022, największym wyzwaniem dla firm związanym z cyfryzacją są braki wykwalifikowanej kadry IT i starzejące się systemy. Aż 1/3 przedsiębiorstw w razie awarii i braku dostępu do zasobów planuje przywracać działanie serwerów w trybie r...
Środowiska IT stają się coraz bardziej rozbudowane. Firmy korzystają z infrastruktury on-premise jak również z rozwiązań chmurowych, często z wielu chmur (multicloud). W takiej sytuacji kluczem dla zapewnienia niezawodnego działania systemów IT jest monitoring infrastruktury. Właściwe rozwiązanie do monit...
Wraz z rozwojem nowoczesnych technologii rozwijają się również złośliwe schematy. Od niedawna do długiej listy oszustw dołączyła sztuczna inteligencja (Artificial Intelligence, AI). Wykorzystanie technologii sztucznej inteligencji i uczenia maszynowego (Machine Learning, ML) przenosi phishing i inne oszustwa cyb...
Przed kilkoma tygodniami w skromnych progach naszej Virtual-nej redakcji pojawiła się przesyłka zawierająca router FRITZ!Box 6850 5G od firmy AVM. Router wprowadzony na rynek latem ubiegłego roku, za pomocą wbudowanego modemu obsługuje zakresy 5G w paśmie poniżej 6 GHz, a także LTE Advanced Pro we wszystkich obecnie wy...
Wyniki badania PMR dla Polskiej Chmury wskazują, że ponad 2/3 firm korzysta z rozwiązań chmurowych, a około 1/3 jest w trakcie ich wdrażania. Tym samym chmura to już stały element ekosystemu i działalności przedsiębiorstw w Polsce. Rynek ten dojrzał i firmy szukają w chmurze korzyści oraz rozwiązań dopasowanych wprost ...
W ciągu ostatnich dwóch lat firma VMware podejmowała wysiłki mające na celu uproszczenie swojego portfolio rozwiązań i przejście z modelu licencji wieczystych na model subskrypcji, który branża przyjęła już jako standard korzystania z chmury. Firma zaznaczyła, że takie zmiany przyniosą klientom większe ko...
Właściwie trzy łby, bo w tyle udoskonaleń wyposażono nową wersję popularnego zagrożenia szyfrującego. Zdaniem firmy ANZENA specjalizującej się w rozwiązaniach do backupu alarmujący jest zwłaszcza mechanizm szyfrowania baz danych. Jego wprowadzenie to sygnał, że twórcy wirusa mają apetyt na duże sieci i jeszcze większe haracze za ich odszyfrowywanie.
"Uwaga! Co to za pies?"
Pierwsza modernizacja Cerbera zaciemnia obraz ataku. Szyfrując pliki ofiary zagrożenie zmienia ich rozszerzenia na cztery przypadkowe znaki, a nie - jak we wcześniejszych wersjach wirusa - na .cerber, .cerber2 czy .cerber3. Brak wspólnego rozszerzenia zarażonych dokumentów to dla ofiary ataku podwójny problem. Z jednej strony znacząco utrudnia rozpoznanie zagrożenia (a więc poszukiwania narzędzia deszyfrującego), z drugiej uniemożliwia oszacowanie rozmiarów infekcji skanowaniem dysku. Pozbawiona tej wiedzy i backupu swoich danych ofiara łatwiej ulegnie żądaniom okupu i na to liczą szantażyści.
" ... a gospodarz jeszcze gorszy"
Drugą modyfikacją jest nowa informacja od przestępców dla ofiary (tzw. ransom note). Dzięki wprowadzeniu pliku HTML obecnie jest wyświetlana w bardziej profesjonalny, niemal "biznesowy" sposób. Ma to zapewne uspokoić poszkodowanych, że samo zagrożenie jest dziełem profesjonalistów, a jego niestabilność (czyt. amatorskie kodowanie) nie zagrozi odciętym plikom.
"To taka karykatura b2b w relacji agresor-ofiara. Poszkodowany ma wierzyć, że jeśli zapłaci to na pewno otrzyma swój klucz deszyfrujący. Na szczęście mając kopię bezpieczeństwa danych bez trudu wyrzucimy intruza poza swoją posesję" - komentuje Krystian Smętek, inżynier systemowy rozwiązań ShadowProtect SPX do backupu i szybkiego przywracania danych.
Nowoczesne systemy backupu przywracają nawet kilka TB systemu w czasie 15 minut, po których wznowimy przerwaną pracę jak gdyby przestoju w ogóle nie było. O taką ochronę powinny szczególnie zadbać firmy, w których odcięcie serwera bazodanowego oznacza straty rosnące z minuty na minutę. Zwłaszcza, że teraz to właśnie one są na celowniku cyberprzestępców.
"Szyfruję bazę w 2 sekundy, a ty?"
Nie można zaszyfrować plików będących w użyciu, prawda? Potakując trzecim łbem nowy Cerber usiłuje najpierw zatrzymywać procesy bazodanowe zarażonego systemu, a w przypadku powodzenia szyfruje pozamykane pliki, co w praktyce zamraża działanie zaatakowanej firmy. Administratorzy powinni więc zwracać szczególną uwagę na nieplanowane przestoje w pracy baz danych, bo mogą one oznaczać początek infekcji nową wersją zagrożenia. Samo szyfrowanie baz to widoczny skręt w kierunku środowisk biznesowych, na których autorzy zagrożenia spodziewają się zarobić jeszcze więcej. A już teraz zarabiają niemało - przyjmuje się, że do tej pory Cerber generował zyski rzędu 1-2,5 mln dolarów rocznie od ofiar z całego świata. Można założyć, że wkrótce te kwoty jeszcze wzrosną.
"Ostorozhno, zlaya sobaka"
Rosyjski jako język systemowy? Nie szyfrujemy! Nową wersję Cerbera napisano tak, by omijała systemy pracujące w tym właśnie języku i z tego powodu domniemywa się, że jego autorzy działają na terenie Rosji. Zagrożenie dostępne jest w sieci Darknet jako usługa szyfrująca w tzw. modelu RaaS (Ransomware-as-a-Service). Osoby chętne czerpać korzyści ze złośliwego szyfrowania cudzych danych oddają 40% udziału w zebranych haraczach autorom zagrożenia. Ma to być forma podziękowania "klientów" Cerbera za wyjątkowo przejrzystą platformę oferującą zagrożenie. Jej powstanie to kolejny znak, że okradając cudze biznesy cyberprzestępcy bardzo starają się rozwijać swój własny.
Źródło: Anzena
