945 261 858

Veeam Insider Protection: Salvavidas contra Noberus

¿Qué es Noberus?

Veeam es el principal sistema de backup para máquinas virtuales en el mundo, por lo tanto, también es un objetivo muy apetecible para las mafias del malware.

Noberus, también llamado BlackCat o ALPHV, es un tipo de ransomware que tiene como objetivo cifrar o borrar copias de seguridad creadas por Veeam Backup & Replication. Para ello, utiliza Eamfo, un malware que roba información y credenciales de la base de datos SQL donde están las copias, y así comprometer así a sus víctimas. 

Este ransomware fue descubierto por primera vez en noviembre de 2021 y se sabe que se dirige específicamente a las copias de seguridad creadas con Veeam. Noberus cifra las copias de seguridad y luego las borra para evitar que los usuarios puedan recuperar sus datos sin pagar el rescate. Puede cifrar archivos en una variedad de sistemas operativos y entornos, incluidos Windows, VMware ESXi, Debian Linux y ReadyNAS y almacenamiento Synology. El lenguaje de programación en el que está escrito Noberus es Rust, muy popular entre desarrolladores de software por su naturaleza multiplataforma.



¿Quienes son Coreid?

Los delincuentes que propagan el ransomware Noberus están mejorando su programa para robar datos y credenciales de redes comprometidas. El grupo detrás de Noberus es Coreid, uno de los desarrolladores de ramsonware más peligrosos y activos desde 2012. Coreid ha estado actualizando continuamente Noberus desde su aparición. Además, Coreid ha agregado capacidades de encriptación a su versión de Windows y ha utilizado Eamfo, un malware que roba información y credenciales de la base de datos SQL donde están las copias, para comprometer así a las víctimas. 

Entre las tácticas avanzadas utilizadas por Coreid y sus afiliados se incluyen el uso de malware específico para robar copias de seguridad, exfiltrar datos y evadir la detección de soluciones de seguridad. También utilizan técnicas de ingeniería social y spear phishing para engañar a los usuarios y acceder a sus sistemas.

Además, Coreid ofrece a sus afiliados (ransomware como servicio – RaaS) una plataforma de acceso remoto segura y una infraestructura de comando y control de alta disponibilidad que les permite coordinar ataques y controlar las infecciones de manera efectiva. Esto hace que sea más difícil rastrear y desmantelar la operación.



¿Cómo funciona Noberus?

El funcionamiento de Noberus es similar al de otros tipos de ransomware. Noberus, una vez que infecta un sistema, comienza a buscar archivos y copias de seguridad específicas creadas con Veeam Backup & Replication. Luego, cifra los archivos encontrados utilizando un algoritmo de cifrado AES-256 y añade una extensión de archivo personalizada, generalmente «.noberus», a los archivos cifrados.

Después de cifrar los archivos, Noberus procede a borrar todas las copias de seguridad creadas con Veeam Backup & Replication que se encuentren en el sistema, lo que hace que sea mucho más difícil para las víctimas recuperar sus datos.

Tras completar el cifrado y borrado de copias de seguridad, Noberus muestra una nota de rescate en la que se exige a la víctima que pague un rescate en criptomonedas para recibir la clave de descifrado. La nota de rescate también puede incluir instrucciones sobre cómo contactar a los atacantes y cómo realizar el pago.



¿Pagar el rescate garantiza recuperar mis datos?

Pagar el rescate NO garantiza necesariamente que los atacantes proporcionen la clave de descifrado, por lo que es recomendable siempre buscar alternativas a pagar el rescate.

Pagar el rescate, además, es ilegal.

Lo mejor es tener copias de seguridad fuera de línea y actualizadas en un dispositivo o sistema que no esté conectado a la red para poder restaurar los archivos sin tener que depender de los atacantes.



¿Que solución te proponemos en JumboCopy?

Noberus puede cifrar y borrar las copias de seguridad creadas por Veeam Backup & Replication.

Puede eliminarlas después de corromper los datos de producción (encriptar ficheros o VMs) y ejecutar continuamente un trabajo de backup en los repositorios para que las últimas copias no sirvan de nada.

Desde una consola central de Veeam podemos tener todos los repositorios que necesitemos. Desde ese equipo están todos accesibles para ser gestionados, es decir, se puede acceder a esa máquina y eliminar la información de los repositorios en un momento.

Y no solo Noberus puede, sino también un empleado insatisfecho.



El Servicio Veeam Cloud Connect con Insider Protection, un repositorio para Veeam con una “papelera de reciclaje” a la que sólo nosotros podemos acceder.


Sobre «Insider Protection»

Es un sistema en el que los ficheros de backup, que se guardan en un repositorio en Veeam Cloud Connect con “Insider Protection” activado, cuando son borrados no desaparecen, sino que van a una “papelera de reciclaje” no accesible a la consola de backup y ahí se guardan por un periodo de tiempo definido.

Con esto conseguimos que, incluso borrando los repositorios, podamos recuperar los ficheros de backup en la nube desde esta papelera de reciclaje y puedan ser restaurados: En JumboCopy, esta retención de tiempo en la papelera, la definimos con 11 días.

De esta forma, independientemente del sistema o repositorios que utilicemos, si usamos un repositorio en la nube con “Insider Protection” podremos recuperar los ficheros de back up aunque sean borrados.