ACSIA Yardım Merkezi

Ara

"Shadow copy delete”nedir?

Federico Trotta
Federico Trotta
  • Güncellenme

Senel bakış

Bu makale "shadow copy delete" adı verilen ACSIA uyarısını açıklayacaktır.

"Shadow copy delete"nin açıklanması

"Shadow copy delete", ​​bir bilgisayar veya ağdaki gölge kopyaları (Birim Gölge Kopyaları veya VSS olarak da bilinir) kaldırmaya veya silmeye çalışan bir saldırganın eylemi anlamına gelir. Gölge kopyalar, sistem verilerinin farklı zamanlardaki yedekleri veya anlık görüntüleridir ve veri kaybı veya sistem sorunları durumunda dosyaları geri yüklemek için kullanılabilirler. Gölge kopyaların silinmesi, kullanıcıların dosyalarının önceki sürümlerini kurtarmasını engelleyebilir ve saldırganlar tarafından bir sistemi tehlikeye attıktan veya bir fidye yazılımı saldırısı gerçekleştirdikten sonra izlerini gizlemek için kullanılabilir.

Bir "shadow copy delete" saldırısı örneği:

Yerel bir ağa bağlı birden çok bilgisayarı olan küçük bir işletme düşünelim. İşletme, değerli finansal verileri ve hassas müşteri bilgilerini merkezi bir sunucuda saklar. Sunucu, gün boyunca düzenli aralıklarla dosyaların yedek kopyalarını oluşturan Birim Gölge Kopyası etkin adlı bir özelliğe sahiptir.

Saldırgan, bilgisayarlardan birindeki bir güvenlik açığından yararlanarak işletmenin ağına yetkisiz erişim sağlamayı başarır. Saldırgan ağa girdikten sonra izlerini örtmek ve işletmenin herhangi bir veriyi kurtarmasını veya neden olabilecekleri zararı geri almasını zorlaştırmak ister.

Saldırgan bunu başarmak için bir "shadow copy delete" saldırısı gerçekleştirir. Merkezi sunucuya yetkisiz erişimlerini kullanırlar ve mevcut gölge kopyaları silmeye başlarlar. Saldırgan, bu yedekleme anlık görüntülerini kaldırarak kritik dosyaları silse veya şifrelese bile işletmenin gölge kopyalardan önceki sürümleri geri yükleyememesini sağlar.

Saldırgan, gölge kopyaları başarıyla sildikten sonra, merkezi sunucuda bir fidye yazılımı saldırısı başlatmaya devam eder. Fidye yazılımı, işletmenin tüm kritik verilerini şifreleyerek çalışanlar için erişilemez hale getirir.

İşletme, fidye yazılımı saldırısını keşfettiğinde, verilerine yeniden erişim kazanmak için saldırgana fidyeyi ödemeye karar verebilir. Ancak, "gölge kopya silme" saldırısı nedeniyle, işletmenin artık dosyalarını önceki yedeklemelerden geri yükleme seçeneği yoktur, bu da fidyeyi ödeme aciliyetini ve baskısını artırır.

Bu örnekte, "shadow copy delete" saldırısı, bir saldırganın veri kurtarma seçeneklerini sabote etmek ve bir fidye yazılımı saldırısının etkisini artırmak için ilk yetkisiz erişimini nasıl kullanabileceğini gösterir.

Altyapınızdaki gölge kopyaları silme girişimi olduğunda ACSIA sizi uyarır.