Varför betalar företag ransomwarebuset?

[Hakinger]

Läser nu att en av COOP's leverantörer troligen råkat ut för en ransomware-attack, dvs att buset krypterar alla eller viktiga filer tills man betalar (om ens då)
Jag är nu ingen expert på stora företag, men jag finner det märkligt att ransomware-attacker lyckas hos dem och att de drabbade faktiskt betalar.
Jag förstår inte hur de inte kan ha en backup som de återställer genom en återstart.

Jag använde under min Windows-tid (vill minnas jag köpte den kring 2004 redan) ett program som hette "First defence Instant Recovery" som hela tiden, eller när man valde det, tog en kopia av systemet. Den tog sk "snapshots" Allt man behövde göra var att starta om och välja en tidigare kopia. Det tog inte längre än vad en omstart av datorn tar. Den var ursprungligen gjord för företag inom oljebranchen. Det programmet var löjligt robust och felade aldrig, den räddade mig säkert hundratals gånger när jag beta-testade olika program eller när windowsuppdateringar ställde till det.

Även med ett hyfsat vanligt backupprogram torde man väl kunna ersätta de drabbade filerna (även om det nu tar mycket längre tid) utan att behöva betala buset någonting? Program som Macrium Reflect t.ex. har ju låst alla backupfiler så att de inte går att kryptera (finns väl nån motsvarighet i Windows 10 nuförtiden också vill jag minnas)
Eller vad är det jag inte förstår med den här ransomware-grejen? Är det så enkelt att de företag som betalar inte har någon backupstrategi värd namnet? Att privatpersoner inte har det är kanske inte så konstigt (man måste anstränga sig lite juh ) men företag som vill tjäna pengar.

Redigerad 3 juli, 2021 av Hakinger

[Monshi]

ja du, en bra fråga med många bottnar.

Ett enkelt svar är att om det tar dem x antal dagar att få upp systemet och varje dag ur drift kostar dem y kronor finns det en enkel ekvation där man snabbt ser att betala 100 000 kr eller kanske 1 000 000 är ingenting jämfört med vad det skulle kosta att inte göra det.

 

I detta fall, om attacken är riktigt intrikat (coop) så kan ju den tillochmed gått in i varje enskild kassaapparat och krypterat denna enhet. Så till den grad att det måste komma ut en tekniker till varje apparat, starta om den, wipa den, installera om den och lägga in kunden system igen...

Eller för den delen att VARJE dator på ett företag krypteras... det tar tid att få upp systemen igen.

 

Om min dator på jobbet skulle krypteras förlorar jag mycket lite information MEN jag skulle nog inte kunna jobba på några dagar.

 

men en sak, det räcker inte med en backup om det nu inte är verklig spegling. För hela systemet är korrupt, måste installeras om.

[Cluster]

Det är ju dessutom så att de flesta ransomwares är byggda för att sprida sig till och kryptera även filer på backupsystemen. 

[Hakinger]

3 timmar sedan, skrev Cluster:

Det är ju dessutom så att de flesta ransomwares är byggda för att sprida sig till och kryptera även filer på backupsystemen. 

Ja, de backupsystem som inte skyddar sina backupper. Macrium t.ex. tillåter inte att något annat varken kan ta bort eller förändra filerna.

[Cluster]

9 timmar sedan, skrev Hakinger:

Ja, de backupsystem som inte skyddar sina backupper. Macrium t.ex. tillåter inte att något annat varken kan ta bort eller förändra filerna.

Kaseya VSA tillät inte heller något annat att använda deras agent för att utföra saker på maskinen.... 😉

 

Som bekant så hackades ju den via uppdateringsmekanismen. Angreppet stängde dessutom av Windows Defender mm. Nu verkar inte just denna attack gett sig på backuper. Men bara för att backupsystemet i sin normala funktion är byggt för att säkra backuperna betyder inte det att man är säker bara för att man har en backup. 

Därtill är det så som Monshi är inne på. Vid enorma mängder data så kan det ta enormt lång tid om allt måste återskapas.