El 'ransomware' pone el foco en los servidores de 'backup'
Los servidores de backup que hayan sido infectados pueden frustrar los esfuerzos para restaurar los daños causados por el ransomware y dar a los atacantes la oportunidad de extorsionar a cambio de mantener en secreto los datos confidenciales robados.
Los sistemas de backup y recuperación corren el riesgo de sufrir dos tipos de ataques de ransomware: cifrado y exfiltración, y la mayoría de los servidores de copia de seguridad locales están muy expuestos a ambos. Esto convierte a los propios sistemas de copia de seguridad en el objetivo principal de algunos grupos de ransomware, y justifica una atención especial.
Los piratas informáticos saben que los servidores de backup suelen estar infraprotegidos y administrados por personal subcontratado menos versado en seguridad de la información. Y parece que nadie quiere hacer nada al respecto para no convertirse en el nuevo experto en copias de seguridad responsable del servidor. Se trata de un problema antiguo que puede permitir que los sistemas de copia de seguridad pasen por debajo del radar de los procesos sólidos que protegen la mayoría de los servidores.
Debería ser justo al contrario. Los servidores de backup deberían ser los sistemas más actualizados y seguros del centro de datos. Deberían ser los más difíciles de acceder como administrador o root. Y deberían requerir pasar por el mayor número de controles para iniciar sesión de forma remota.
Un papel importante que desempeñan los servidores de backup es proporcionar los medios para recuperarse de un ataque de ransomware sin pagar el rescate. Contienen los datos necesarios para reconstruir las máquinas que han sido cifradas por el ransomware, por lo que los grupos de ransomware intentan cifrar también las copias de seguridad. La frase más triste en cualquier historia de este tipo de incidentes es: "Y las copias de seguridad también fueron cifradas". Son tu última línea de defensa y hay que mantener la línea.
Ese es el ataque tradicional de ransomware, pero la exfiltración de datos se está convirtiendo rápidamente en una motivación principal para los atacantes que tienen como objetivo los servidores de backup. Si los malhechores pueden filtrar y descifrar los secretos de tu empresa a través del servidor de copia de seguridad, pueden extorsionarte de una forma contra la que no puedes defenderte: "Paga o los secretos más importantes (o peores) de tu empresa pasarán a ser de dominio público". Entonces te dan acceso a una página web donde puedes ver los datos que tienen, y a tu organización no le queda más remedio que pagar el rescate y esperar que cumplan su promesa.
Esta estrategia tiene sentido para los grupos de ransomware. Es más fácil ir a por el único servidor que definitivamente contiene todos los datos confidenciales de una organización que atacar con éxito muchos servidores que pueden contener algunos datos confidenciales.
Siguiendo esta lógica, una vez que una pieza de malware entra en tu centro de datos, contacta inmediatamente con tu servidor de mando y control para averiguar qué debe hacer a continuación. Cada vez más, el siguiente paso es identificar qué tipo de sistema de copia de seguridad se está utilizando y, una vez que lo averiguan, empezar a atacar directamente ese sistema.
Los atacantes pueden intentar acceder directamente a los datos de la copia de seguridad a través de la red mediante NFS o SMB, y si lo consiguen (y sin cifrar) su trabajo está hecho. Si no pueden, se dirigen directamente al sistema operativo del servidor de copia de seguridad utilizando un exploit del sistema o credenciales comprometidas para obtener acceso de administrador/root. Si consiguen acceder a la clave de máquina utilizada para el cifrado básico, obtendrán las claves del reino de las copias de seguridad, y se acabaron las apuestas.
La mejor manera de defenderse contra este escenario es evitar que las organizaciones de ransomware pongan en peligro sus servidores de copia de seguridad. He aquí cómo:
- Mantén actualizados los parches del sistema operativo y de las aplicaciones.
- Cierra todos los puertos de entrada excepto los requeridos por el software de copia de seguridad.
- Habilita los puertos de gestión necesarios (por ejemplo, SSH, RDP) a través de una VPN privada.
Utilice un archivo host local para evitar que el malware se ponga en contacto con los servidores de mando y control.
- Mantén un sistema de gestión de contraseñas independiente para los servidores de copia de seguridad y de aplicaciones (es decir, sin LDAP).
- Impón el uso de la autenticación multifactor.
- Limita el uso de root/Administrador; activa alarmas cuando lo haga
- Utiliza la copia de seguridad SaaS como alternativa a la gestión de su propio servidor de copia de seguridad.
- Utilizar el mínimo privilegio siempre que sea posible, dando a cada persona los privilegios que necesita para hacer su trabajo y nada más.
Para proteger los propios datos de copia de seguridad de la extorsión o la encriptación, debes configurar su sistema de copia de seguridad de la siguiente manera:
- Cifrar todos los datos de copia de seguridad dondequiera que se almacenen
- Utilizar terceros para gestionar las claves de cifrado
- No almacenar las copias de seguridad como archivos a través de DAS o NAS. Pregunta a tu proveedor por métodos más seguros.
- Almacenar las copias de seguridad en un sistema operativo distinto al de su servidor de copias de seguridad.
- Utilizar almacenamiento in situ con características inmutables (por ejemplo, Linux)
- Crear una copia en cinta/RDX y envíela fuera de las instalaciones.
- Crear una copia en un almacenamiento inmutable en la nube.
Esto supondrá mucho trabajo para la mayoría de los entornos, pero merecerá la pena si reconoce el peligro que corre el servidor de copias de seguridad.
