©2021 arizent。版权所有。

Insynq攻击中的内部:'我们不得不假设他们正在倾听'

现在注册

虽然云托管提供商Insynq在线识别7月16日重大赎金软件攻击的一小时内发布了一条消息,并随后每天向客户跟进一封或两个批量电子邮件,该公司必须对其共享的信息进行限制 - 避免将其攻击者提供优势。

“很多人都感到沮丧,我们没有分享足够,我理解,”CEO Elliot Luchansky在周四由科技顾问Joe Woodard主持的在线市政厅告诉与会者。 “我们扣留了信息 - 但这是为了一个非常好的理由战略性地完成。这是一个赎金软件攻击,并且有人类参与实时进行攻击,所以我们必须假设他们监控我们所说的。“

“我们在公开分享信息的同时谈判赎金 - 它将我们放在一个非常艰难的束缚中,”Luchansky继续。 “透明度是我们非常认真的事情 - 我们将愿意处理完全开放的书籍,但这不会符合客户的最佳利益。我们不得不假设袭击者正在倾听。“

“没有表现出你的手是赢得这场战斗的一部分,”伍德拉德确认。

尽管如此,该公司决定不支付要求的攻击者的赎金。

“少数因素陷入了困境,”吕建斯基说。 “网络犯罪界正在不断分享彼此的东西。我们有理由相信,如果我们支付赎金 - 我们准备在加密货币支付的非常大量的金额 - 它将在未来掌握目标。“

更重要的是,由于公司早期发现了攻击并立即采取了攻击措施,其数据非常少的攻击者对其进行了恶意加密,因此向他们解密,这比处理来自的恶意软件更少的忧虑随着攻击。

“即使我们收到了解密密钥,那就是这里的主要问题,”Luchansky说。 “由于我们的快速反应,我们能够包含加密部分,因此我们更关注恶意软件 - 而且通过支付赎金,您不会为此获得帮助。”

攻击的解剖学

作为市政厅的一部分,Luchansky对攻击和停机进行了详细的叙述。

“7月16日,我们是一个复杂的刑事组织的目标,它引发了一个高度有针对性的,精心规划的赎金软件攻击我们的主要数据中心,影响了我们客户群的50%以上,”他解释说。

攻击者专门针对Insynq,而不仅仅是公司使用的数据中心,而且他们使用了通过网络钓鱼攻击引入的Megacortex Ransomware病毒的先前未知的变体。

即使赎金软件开始加密公司和客户数据持有人质,攻击也释放了Luchansky叫做“同时像野火一样蔓延的恶意软件飓风。”

“我们在几分钟内发现了攻击,并将我们定位在否则之外的数据更加数据,”他继续。 “我们立即关闭该数据中心 - 我们拉插头以最小化丢失数据的影响。我们可以告诉有一次攻击;我们对此不太了解,但我们采取了行政决定关闭,知道这意味着对我们的客户进行中断。“

恶意软件也已经进入了公司的一些备份,恢复很复杂。 “我们不得不对待备份我们如何治疗主要系统,因此它不会传播问题,”Luchansky解释说。

恢复

Luchansky报道称,截至上周,超过90%的insynq用户能够登录并访问其文件,因此他们可以在本地版本的QuickBook中下载并使用它们。

“此时,我们拥有大多数客户在桌面上完全奏贯的功能,在攻击前一小时的数据有数据,”他说。 “在之后,我们专注于提供对尽可能多的应用程序的访问,优先考虑最重要,最重要的是我们的客户群。”他指出,QuickBooks将在列表的顶部以及Microsoft和Sage。

在使客户的整体方面,该公司已经为客户提供了顾客的所有停机,但陆施坦尼希望更多地做得更多,计划提供多个月的信贷。

“我们现在仍然习惯了详细信息,”他说,“但我们将远远超出 - 以至于它到目前为止的6倍。”

Insynq还采取了一些措施来筹备这类未来事件:

  • 实施“下一代”反恶意软件软件,使用人工智能和行为模式识别来识别可疑行为。
  • 开发新的备份系统,防止攻击溢出。
  • 创建更快的恢复过程,目的是在日子里,而不是几周内能够在业务中获得客户。
  • 调查创建“业务连续性”选项,该选项将维持用户系统的完整镜像环境,因此它们可以在攻击的第一个符号处立即切换(尽管Luchansky指出,这种服务将更多地成本更高)。
  • 雇用一个网络安全技术公司,Crowdstrike,调查违规行为。
  • 与第三方合作,以便灵活地扩展其沟通渠道以响应客户需求的尖峰。
  • 添加首席信息安全官员级位置,并提高网络安全周围的员工培训。

“为这些事件做好准备是一件事 - 但它是一个完全不同的经验,通过第一手一手,”卢克斯基说。 “这里的银色衬里是我们更好地定位并拥有更好的工具,并知道这么好,这真的看起来真正看起来像再次发生这种情况的风险,并采取措施进行准备。

用于本文的重印和许可请求, 点击这里.
勒索制造器 恶意软件 网络攻击 网络安全 灾难恢复
更多来自今天的会计