Ransomware: anche i server di backup sono in pericolo
I sistemi di backup e ripristino rischiano due tipi di attacchi ransomware (crittografia ed esfiltrazione) e la maggior parte dei server di backup locali può soccombere a entrambi. Ciò rende i sistemi di backup stessi l’obiettivo principale di alcuni gruppi di ransomware e merita un’attenzione speciale. Gli hacker sanno benissimo che i server di backup sono spesso sottoprotetti e amministrati da personale meno esperto nella sicurezza delle informazioni. E sembra che nessuno voglia fare qualcosa al riguardo per timore di diventare il nuovo esperto di backup responsabile del server. Dovrebbe però essere esattamente l’opposto. Il server di backup dovrebbe infatti essere il sistema più aggiornato e sicuro nel data center e il più difficile a cui accedere come amministratore.
Un ruolo importante svolto dai server di backup è fornire i mezzi per riprendersi da un attacco ransomware senza pagare alcun riscatto. Questi server contengono infatti i dati necessari per ricostruire le macchine crittografate dal ransomware. La frase più triste che si sente in qualsiasi vicenda legata a un attacco ransomware è, “anche i backup sono stati crittografati”. Sono la vostra ultima linea di difesa e dovete tenerla assolutamente protetta.
L’esfiltrazione dei dati sta rapidamente diventando una motivazione primaria per gli attacchi ransomware che prendono di mira i server di backup. Se i malintenzionati possono esfiltrare e decrittografare i segreti della vostra azienda tramite il server di backup, possono mettervi alle strette (per non dire di peggio) dicendo: “Paga o i segreti più importanti (o scottanti) della tua azienda diventeranno di dominio pubblico”. A questo punto vi danno accesso a una pagina web in cui potete vedere i dati che hanno e la vostra organizzazione non ha altra scelta che pagare il riscatto e sperare che gli aggressori mantengano la loro promessa.
Questa strategia, dopotutto, ha perfettamente senso per i gruppi di ransomware. È infatti molto più facile perseguire l’unico server che contiene sicuramente tutti i dati sensibili di un’organizzazione piuttosto che attaccare con successo molti server che potrebbero contenere solo alcuni dati sensibili.
Seguendo questa logica, una volta che un malware entra nel vostro data center, contatta immediatamente il suo server di comando e controllo per scoprire cosa dovrebbe fare dopo. Sempre più spesso, il passo successivo è identificare quale tipo di sistema di backup viene utilizzato e, una volta capito, iniziare ad attaccare direttamente quel sistema.
Gli aggressori potrebbero tentare di accedere direttamente ai dati di backup sulla rete tramite NFS o SMB e, se ci riescono e i dati non sono crittografati, il loro lavoro è fatto. Se invece non ci riescono, vanno direttamente al sistema operativo del server di backup utilizzando un exploit di sistema o credenziali compromesse per ottenere l’accesso Administrator / root, con conseguenze facilmente (e tristemente) immaginabili.
Il modo migliore per difendersi da questo scenario è impedire alle organizzazioni di ransomware di compromettere i server di backup. Ecco come:
- Mantenere aggiornate le patch del sistema operativo e delle applicazioni
- Disabilitare tutte le porte in entrata ad eccezione di quelle richieste dal software di backup
- Abilitare le porte di gestione necessarie (ad es. SSH, RDP) tramite una VPN privata
- Utilizzare un file host locale per impedire al malware di contattare i server di comando e controllo
- Mantenere un sistema di gestione delle password separato per i server di backup e delle applicazioni (cioè senza LDAP)
- Imporre l’uso dell’autenticazione a più fattori
- Limitare l’uso di root/Administrator
- Utilizzare backup SaaS come alternativa alla gestione del proprio server di backup
- Usare il privilegio minimo ove possibile, dando a ogni persona i privilegi di cui ha bisogno per svolgere il proprio lavoro e nient’altro
Per proteggere i dati di backup stessi da estorsioni o crittografia, è necessario configurare il sistema di backup in questo modo:
- Crittografare tutti i dati di backup ovunque siano archiviati
- Utilizzare terze parti per gestire le chiavi di crittografia
- Non archiviare i backup come file tramite DAS o NAS. Chiedete al vostro fornitore metodi più sicuri
- Archiviare i backup in un sistema operativo diverso da quello del server di backup
- Utilizzare l’archiviazione locale con funzionalità immutabili (ad esempio Linux)
- Creare una copia su nastro/RDX e mandarla fuori sede
- Creare una copia su un archivio cloud immutabile