在Insynq攻击中:“我们必须假设他们在听”

现在注册

尽管云托管提供商Insynq在7月16日发现一个重大勒索软件攻击的一个小时内在线发布了一条消息,随后每天又向客户发送一到两封大量电子邮件,但该公司必须对其共享的信息加以限制-避免给攻击者以优势。

首席执行官Elliot Luchansky星期四在技术顾问Joe Woodard主持的在线市政厅对与会者说:“很多人对我们分享的不足感到沮丧,我理解这一点。” “我们正在隐瞒信息,但这是出于非常充分的理由在战略上做到的。这是一个勒索软件攻击,并且实时有人参与攻击,因此我们必须假定他们正在监视我们所说的话。”

Luchansky继续说道:“我们在公开共享信息时正在协商赎金,这使我们陷入了非常艰难的困境。” “透明度是我们非常重视的事情-我们本来希望完全开放地处理它,但这并不能满足客户的最大利益。我们必须假设攻击者正在监听。”

Woodard确认:“不举手是赢得这场战斗的一部分。”

但最终,该公司决定不支付攻击者要求的赎金。

卢坎斯基说:“其中有一些因素。” “网络犯罪分子正在不断地彼此共享事物。我们有理由相信,如果我们支付了赎金(我们已经准备好以加密货币支付的非常大量的赎金),它将在将来成为我们的目标。”

而且,由于该公司及早发现了攻击并立即采取了针对性措施,因此攻击者对数据的恶意加密很少,因此,与他们一起应对恶意软件相比,付钱给他们解密并不那么紧迫与攻击。

Luchansky说:“即使我们收到了解密密钥,这也不是这里的主要问题。” “由于我们的快速反应,我们能够包含加密部分,因此我们更加关注恶意软件-而且您无法通过支付赎金获得帮助。”

攻击解剖

作为市政厅的一部分,卢尚斯基详细介绍了这次袭击和停运情况。

他解释说:“ 7月16日,我们成为一个复杂的犯罪组织的目标,该组织对我们的一个主要数据中心发起了针对性强,计划周密的勒索软件攻击,影响了超过50%的客户群。”

攻击者专门针对Insynq,而不仅仅是公司使用的数据中心,而且他们使用了通过钓鱼攻击引入的以前未知的MegaCortex勒索软件病毒变体。

即使勒索软件开始加密公司和客户数据以劫持人质,攻击也释放了卢坎斯基所说的“同时传播像野火一样的恶意软件飓风”。

他继续说:“我们在几分钟之内就识别出了这次攻击,这使我们得以保留比以往更多的数据。” “我们立即关闭了该数据中心-我们拔下插头以最大程度地减少丢失数据的影响。我们可以判断发生了袭击;我们对此了解不多,但是我们做出了关闭公司的决定,因为这将对我们的客户造成中断。”

由于该恶意软件也已纳入公司的某些备份中,因此恢复过程非常复杂。 Luchansky解释说:“我们必须像对待主系统一样对待备份,这样就不会扩散问题。”


恢复

Luchansky报告说,截至上周,Insynq的用户中有90%以上能够登录并访问其文件,因此他们可以在本地版本的QuickBooks中下载和使用它们。

他说:“在这一点上,我们的大多数客户在其台式机上都具有完整的功能,并且在攻击发生前一个小时就获得了数据。” “紧接着,我们专注于提供对尽可能多的应用程序的访问,并按客户群最重要和最常用的优先级进行排序。”他指出,QuickBooks将与Microsoft和Sage一起位于列表的顶部。

在使客户满意方面,该公司已经在整个停电期间为客户提供信用,但是Luchansky希望做更多的事情,并计划提供最多两个月的信用。

他说:“我们现在仍在制定细节,但我们将超越一切,将其视为到目前为止的6倍。”

Insynq还采取了一些措施来应对此类未来事件:

  • 实施使用人工智能和行为模式识别来识别可疑行为的“下一代”反恶意软件。
  • 开发新的备份系统,以防止攻击蔓延。
  • 创建一个更快的还原过程,旨在能够在几天而不是几周内让客户重新开始业务。
  • 正在研究创建一个“业务连续性”选项,该选项将维护用户系统的完整镜像环境,以便他们可以在遭受攻击的第一时间即刻进行切换(尽管Luchansky指出,这种服务的成本会高得多)。
  • 雇用网络安全技术公司CrowdStrike进行调查。
  • 与第三方合作,可以灵活地扩展其通信渠道,以应对客户需求的激增。
  • 增加首席信息安全官级别的职位,并加强有关网络安全的员工培训。

卢坎斯基说:“为这些活动做准备是一回事,但要亲身经历是完全不同的体验。” “这里的一线希望是,我们处于更好的位置,拥有更好的工具,并且更加了解这到底是什么样子,采取预防措施以降低再次发生这种情况的风险,并采取措施做好准备。”

对于本文的转载和许可请求, 点击这里.
勒索软件 恶意软件 网络攻击 网络安全 灾难恢复
今日的更多信息