勒索軟體劫持資料新去處

為了脅迫受害組織支付贖金，勒索軟體駭客往往會先竊取內部資料再進行檔案加密，但現在駭客更換外流資料的管道，也引起研究人員的注意。

一般來說，勒索軟體駭客原本用來外流受害組織資料的管道，最常見的是利用雲端檔案共享服務Mega提供的公用程式MEGASync，或是能公開取得的Rclone，但資安業者ModePUSH發現，變臉（BianLian）、Rhysida等多個勒索軟體駭客組織，越來越頻繁地利用Azure Storage Explorer、AzCopy，將竊得的資料送到Azure Blob儲存桶。

為何這些駭客選擇濫用Azure Blob儲存桶？研究人員指出，主要原因在於Azure是許多企業採用的服務，因此相關流量不太可能會遭到防火牆或是資安系統攔截；再者，駭客在短時間內外流竊得資料的過程，藉由Azure的延展性，他們可以因應這些非結構化的大量資料。

對於這些駭客使用的作案工具，研究人員特別提及勒索軟體ScRansom的結構並不嚴謹，從相關攻擊行動裡，突顯駭客在勒索軟體領域的能力不夠成熟。他們發現，駭客的解密工具雖然能正常運作，但在解密過程通常需要多組金鑰，而且還會出現部分檔案面臨永久性損壞的情況，換言之，受害者若是選擇低頭向駭客付錢，很有可能無法完全正常復原所有資料。

若平時就有定期執行每日備份任務，即可有效的減少災難恢復所需要的時間，
面對資訊安全災難，您需要以下方案
●1：對所有電腦系統進行每日備份，增加RPO
●2：將備份存放區設計成不可變更儲存，或隔離保護
●3：備份檔案異地副本，達成備份321原則
●4：使用備用虛擬平台，將備份即時恢復啟動，減少RTO

對此，我們提供客戶採購前/中/後：規劃評估，導入，維護。
設計良好的備份系統可防止備份被加密或刪除，在災難事件發生後使用這些備份將系統重建到完全可操作狀態。
我們絕不輕視備份的重要性。所有組織都必須擁有一個強大而安全的備份系統，這一點至關重要。