Just nu i M3-nätverket
Gå till innehåll

Varför betalar företag ransomwarebuset?


Rekommendera Poster

Postad (redigerade)

Läser nu att en av COOP's leverantörer troligen råkat ut för en ransomware-attack, dvs att buset krypterar alla eller viktiga filer tills man betalar (om ens då)
Jag är nu ingen expert på stora företag, men jag finner det märkligt att ransomware-attacker lyckas hos dem och att de drabbade faktiskt betalar.
Jag förstår inte hur de inte kan ha en backup som de återställer genom en återstart.

Jag använde under min Windows-tid (vill minnas jag köpte den kring 2004 redan) ett program som hette "First defence Instant Recovery" som hela tiden, eller när man valde det, tog en kopia av systemet. Den tog sk "snapshots" Allt man behövde göra var att starta om och välja en tidigare kopia. Det tog inte längre än vad en omstart av datorn tar. Den var ursprungligen gjord för företag inom oljebranchen. Det programmet var löjligt robust och felade aldrig, den räddade mig säkert hundratals gånger när jag beta-testade olika program eller när windowsuppdateringar ställde till det.

Även med ett hyfsat vanligt backupprogram torde man väl kunna ersätta de drabbade filerna (även om det nu tar mycket längre tid) utan att behöva betala buset någonting? Program som Macrium Reflect t.ex. har ju låst alla backupfiler så att de inte går att kryptera (finns väl nån motsvarighet i Windows 10 nuförtiden också vill jag minnas)
Eller vad är det jag inte förstår med den här ransomware-grejen? Är det så enkelt att de företag som betalar inte har någon backupstrategi värd namnet? Att privatpersoner inte har det är kanske inte så konstigt (man måste anstränga sig lite juh :P ) men företag som vill tjäna pengar.

Redigerad av Hakinger
Länk till inlägg
Dela på andra webbplatser

ja du, en bra fråga med många bottnar.

Ett enkelt svar är att om det tar dem x antal dagar att få upp systemet och varje dag ur drift kostar dem y kronor finns det en enkel ekvation där man snabbt ser att betala 100 000 kr eller kanske 1 000 000 är ingenting jämfört med vad det skulle kosta att inte göra det.

 

I detta fall, om attacken är riktigt intrikat (coop) så kan ju den tillochmed gått in i varje enskild kassaapparat och krypterat denna enhet. Så till den grad att det måste komma ut en tekniker till varje apparat, starta om den, wipa den, installera om den och lägga in kunden system igen...

Eller för den delen att VARJE dator på ett företag krypteras... det tar tid att få upp systemen igen.

 

Om min dator på jobbet skulle krypteras förlorar jag mycket lite information MEN jag skulle nog inte kunna jobba på några dagar.

 

men en sak, det räcker inte med en backup om det nu inte är verklig spegling. För hela systemet är korrupt, måste installeras om.

  • Gilla 3
Länk till inlägg
Dela på andra webbplatser

Det är ju dessutom så att de flesta ransomwares är byggda för att sprida sig till och kryptera även filer på backupsystemen. 

  • Gilla 1
Länk till inlägg
Dela på andra webbplatser
3 timmar sedan, skrev Cluster:

Det är ju dessutom så att de flesta ransomwares är byggda för att sprida sig till och kryptera även filer på backupsystemen. 

Ja, de backupsystem som inte skyddar sina backupper. Macrium t.ex. tillåter inte att något annat varken kan ta bort eller förändra filerna.

Länk till inlägg
Dela på andra webbplatser
9 timmar sedan, skrev Hakinger:

Ja, de backupsystem som inte skyddar sina backupper. Macrium t.ex. tillåter inte att något annat varken kan ta bort eller förändra filerna.

Kaseya VSA tillät inte heller något annat att använda deras agent för att utföra saker på maskinen.... 😉

 

Som bekant så hackades ju den via uppdateringsmekanismen. Angreppet stängde dessutom av Windows Defender mm. Nu verkar inte just denna attack gett sig på backuper. Men bara för att backupsystemet i sin normala funktion är byggt för att säkra backuperna betyder inte det att man är säker bara för att man har en backup. 

Därtill är det så som Monshi är inne på. Vid enorma mängder data så kan det ta enormt lång tid om allt måste återskapas.

Länk till inlägg
Dela på andra webbplatser

På en bekants (stora) arbetsplats blev det t.om tillåtet att gå tillbaks till företagets "pensionerade"  backupsystem för dem som ville när randsomware blev "populärt".

 

Det var ett mycket sämre system (osmidig synkronisering och belastningskänsligt) jämfört med det nya molnbaserade systemet. Men det gjordes (partiella?) bandbackuper varje natt så man var alltid säker på att åtminstone kunna återställa en några dagar gammal kopia. Det kunde inte molnfirman garantera. Lite märkligt kan man tycka.

Länk till inlägg
Dela på andra webbplatser

Skapa ett konto eller logga in för att kommentera

Du måste vara medlem för att kunna kommentera

Skapa ett konto

Skapa ett nytt konto på vårt forum. Det är lätt!

Registrera ett nytt konto

Logga in

Redan medlem? Logga in här.

Logga in nu


×
×
  • Skapa nytt...