نوشته‌ها

ضد بدافزار

کسب و کارهای کوچک و متوسط باید در مقابل « حملات باج افزار » آماده باشند

در حال حاضر «حملات باج افزار» تهدیدی علیه امنیت سایبری با سریع‌ترین میزان انتشار است که بر کسب و کارهای کوچک و متوسط (SMBها) اثر می‌گذارند.

این حوادث باج افزار می‌توانند به سازمان‌هایی با هر اندازه و تقریباً درون هر صنعتی صدمه بزنند. گزارش نیم‌سالۀ شرکت بیت‌دیفندر[1] در سال 2020 تحت عنوان «گزارش دورنمای تهدید 2020» به این مسئله اشاره کرد که تمام گزارشات حملات باج افزار ی در جهان به میزان 715% نسبت به مدت مشابه سال قبل جهش ناگهانی داشت.

حوادث مرتبط با همه‌گیری بیماری کرونا نیز تاثیر شدیدی داشت و برای سال 2021 میزان مشابهی از این‌گونه تهدیدات انتظار می‌رود. احتمال حملات سایبری باج افزار موفقی که به‌طور گسترده گزارش شده‌اند مجرمان سایبری را ترغیب کند و آن‌ها به‌دنبال روش‌های پیچیده‌تری برای حمله به سیستم‌های امنیتی شرکت‌ها باشند.

باج‌ افزار چیست؟

قبل از این‌ که کسب و کارهای کوچک و متوسط بتوانند امید به دفاع از خود داشته باشند، آن‌‎ها باید دقیقا درک کنند که «باج‌ افزار» چیست و چگونه کار می‌کند. «باج‌ افزار» نوعی بدافزار است که تهدید می‌کند در صورت پرداخت نشدن باج، داده‌های حساس سازمان را منتشر خواهد کرد یا به‌طور مداوم دسترسی به اسناد را مسدود می‌کند.

گونۀ پیشرفته‌تر «باج‌ افزار» فایل‌های یک شرکت را رمزنگاری کرده و آن‌ها را با استفاده از یک فرآیند، غیرقابل دسترسی می‌کند، سپس برای رمزگشایی آن درخواست پول می‌کند. قربانیان این حملات اغلب مجبور به استفاده از کلیدهای رمزگشایی برای بازیابی اسناد خود می‌شوند.

هکرها معمولاً از طریق ارزهای دیجیتالی مانند «بیت‌کوین» و هم‌چنین رمز ارزهای دیگر درخواست پرداخت پول می‌کنند. از آن‌جایی که ردیابی این نوع پرداخت‌ها سخت است، کشف و تعقیب قانونی هکرها نیز مشکل و بی‌حاصل است.

حملات باج‌افزاری معمولاً توسط «تروجان‌ها»[2] انجام می‌شود. تروجان‌ها «بدافزاری» هستند که کاربران را از مقصد حقیقی خود گمراه می‌کنند، مانند اسب تروجانی که توسط شعر «انه‌اید»[3] اثر «ویرژیل»[4] مشهور شد. این ویروس‌های بدافزار به‌گونه‌ای در فایل‌های متعارف مخفی شده تا کاربر فریب خورده و آن‌ها را بارگیری کند و یا زمانی که از طریق ضمیمۀ ایمیل دریافت می‌کند‌، آن‌ها را باز کند.

حملۀ باج‌افزاری به‌وضوح رو به افزایش است. گزارشی که در ماه آگوست 2021 از سازمان تحقیقاتی «اینترنشنال دیتا کورپ(IDC)» منتشر شد، نشان داد که بیش از یک سوم سازمان‌ها در سراسر جهان حملات باج‌افزاری یا رخنۀ امنیتی را تجربه کردند که حاصل این حملات قطع دسترسی به سیستم‌ها یا داده‌ها طی 12 ماه گذشته بود. به‌ گفتۀ این گزارش، برای سازمان‌هایی که قربانی «باج‌افزار» شده‌اند، تجربۀ چندین حادثۀ «باج‌افزاری» غیرمتعارف نیست.

گزارش «State of the Channel Report» سال 2020 شرکت «داتو»[5] بیان کرد که نزدیک به 70% از «ارائه‌کنندگان خدمات مدیریت‌شده (MSPs)» باج‌افزار را به‌عنوان شایع‌ترین حملۀ بدافزاری معرفی کردند. با این‌حال از آن‌جایی که بیشتر «ارائه‌کنندگان خدمات مدیریت‌شده» یعنی 84% آن‌ها در خصوص باج‌افزار «بسیار نگران» هستند، تنها 30% از آن‌ها اعلام کردند که مشتریانشان که کسب و کارهای کوچک و متوسط هستند عقیدۀ مشابهی با آن‌ها دارند.

با انتشار منظم گزارشات فراوان از حملات باح‌افزاری در خبرها، کسب و کارهای کوچک و متوسط باید این‌گونه حملات را جدی بگیرند چرا که تاثیرات چنین حملاتی می‌تواند برای کسب و کار آن‌ها فاجعه‌آمیز باشد.

بهترین روش‌ها برای جلوگیری از حملات سایبری باج‌ افزار ی

پس کسب و کارهای کوچک و متوسط چگونه می‌توانند از خود در برابر «باج‌افزار» و دیگر «حملات سایبری» مراقبت کنند؟

یکی از این راه‌ها در صورتی که تا به‌حال اینکار را انجام نداده‌اند، به‌کار گیری سپر دفاعی چند لایه‌ است، یعنی فراتر از صرفاً اجرای یک نرم‌افزار تشخیص بدافزار. آن‌ها باید ابزارهایی داشته باشند که در «اندپوینت»[6] و «لایه‌های شبکه» شفافیت ایجاد کند که شامل «EDR»[7] و «MDR»[8] می‌شود.

«EDR» به‌طور مداوم بر دستگاه‌های «اندپوینت» نظارت کرده و به فعالیت‌های مشکوک پاسخ می‌دهد تا حملات سایبری را کم اثر کند. ابزارهای «EDR» در«سرورهای ابری» یا «در محل» موجود بوده که داده‎‌ها را از دستگاه‌های «اندپوینت» جمع‌آوری کرده و سپس آن‌ها را برای مشکلات و حملات احتمالی تجزیه و تحلیل می‌کنند. این نرم‌افزار بر روی دستگاه‌های «کاربر نهایی» نصب شده و داده‌ها بر روی پایگاه‌دادۀ متمرکز ذخیره می‌شود.

«MDR» به شرکت‌ها «فعالیت‌های مداوم امنیت سایبری» و برون‌سپاری شده ارائه می‌کند و هم‌چنین امنیت را برای «اندپوینت‌ها»، «شبکه‌ها» و هم‌چنین «تجزیه و تحلیل امنیت» و «تخصص در تجسس حمله» به ارمغان می‌آورد. مراقبت در برابر «باج‌افزار» تلاشی مداوم است و نه صرفاً پاره وقت و از آن‌جایی که شرکت‌های کوچک بسیاری برای ارائۀ پوشش شبانه روزی تجهیز نشده‌اند، آن‌ها برای کمک به جلوگیری از انتشار و اجرای حملات «باج‌افزاری» درون سازمان به خدمات «MDR» نیاز دارند.

«MDR» و «EDR»

«MDR» و «EDR» برای کسب و کارهای کوچک و متوسط قابل دسترسی شده‌اند که امنیتی به «مرکز عملیات امنیت» ارائه می‌دهند که در گذشته تنها شرکت‌های بزرگ توانایی مالی برای تهیۀ آن را داشتند.

از آن‌جایی که حتی تاخیرهای جزئی در شناسایی و پاسخ به «باج‌افزار» می‌تواند منجر به مشکلات عدیده‌ای شود، دفاع در مقابل این حملات با استفاده از رویکرد چندلایه‌ایِ براساس حفاظت پیشگیرانه ضروری است.

کسب و کارهای کوچک و متوسط باید گذشته از استقرار آخرین ابزارهای امنیتی برای محافظت در برابر «باج‌افزار»، بر جلوگیری یا حداقل کاهش احتمال صدمه دیدن با یک حمله تمرکز داشته باشند که این مسئله شامل انجام ارزیابی‌های منظمِ خطرِ امنیتی، همراه با رویکردهای مداوم برای مدیریتِ وصلۀ امنیتی با استفاده از خدماتی مانند «MDR» و «EDR» است.

با انطباق پذیر شدن حملات «باج‌افزاری»، دورنمای این تهدیدات دائماً درحال تحول است، بنابراین ارزیابی‌های مکررِ خطر از طریق «MDR» و «EDR» پیشنهاد می‌شود. ارائه‌کنندگان معتبر فراوانی برای «خدمات امنیتی مدیریت شده» وجود دارد که می‌توان برای این ارزیابی‌ها و خدمات دیگر از آن‌ها کمک گرفت.

«کسب و کارهای کوچک و متوسط» باید درک کنند که «جلوگیری» کافی نیست، آن‌ها هم‌چنین باید دارای «برنامۀ کاهش اثر» مناسبی باشند که شامل «فایل پشتیبان غیر قابل نفود» است. زمانی که یک جریان احتمالی «باج‌افزار جدید» سعی در رمز گذاری فایل‌ها می‌کند، پشتیبان غیر قابل نفود از فایل‌های مورد نظر می‌تواند بعد از این‌که بدافزار مسدود شد، فایل‌ها را بازیابی کند.

«اینترنشنال دیتا کورپ» به راه‌های دیگری نیز اشاره کرده که شرکت‌ها می‌توانند از آن‌ها برای راهبرد خود در برابر «حملات باج‌افزاری» استفاده کنند. این راه‌ها شامل: «بررسی و تصدیق محافظت از داده‌ها و امنیت، انجام بازیابی اطلاعاتِ شرکا و تامین کنندگان»، «روش‌های دوره‌ای پاسخگویی تست حساسیت» و «توزیع مضاعف اطلاعات تهدید بین دیگر سازمان‌ها و یا نهاد‌های دولتی».

آموزش امنیت سایبری

هیچ‌گونه راهبرد امنیتی، بدون برنامه‌های آموزشی موثر برای تمام کاربران، کامل نیست. همان‌طور که گزارش شرکت «داتو» نشان داد، «آموزش کاربر مصرف‌کننده» بخش اساسی یک «راهبرد محافظت موثر در برابر باج‌افزار» است. به گزارش این شرکت «فیشینگ»، «فعالیت‌های ضعیف کاربر» و «فقدان امنیت سایبری از سمت کاربر» سه دلیل حملات موفق باج‌افزاری بوده است.

این گزارش ادامه می‌دهد، درک این مسئله مهم است که «آموزش امنیت» باید فراتر از صرفاً پوشش چگونگی تشخیص حملات فیشینگ باشد. با این‌که «فیشینگ» در صدر لیست قرار دارد، اما «رمز عبور ضعیف»، «دسترسی باز به پروتکل دسترسی از راه دور به دسکتاپ» و «گروهی از خطاهای کاربر» نیز از دلایل دیگر این نفوذها هستند.

اولویت قرار دادن راهبرد امنیت سایبری

«کسب و کارهای کوچک و متوسط» باید «امنیت سایبری» را در اولویت بالاترین سطوح شرکت قرار دهند. این مسئله به این معنا است که مدیر عامل و دیگر مدیران ارشد باید مثالی طراحی و آن ‌را شفاف‌سازی کنند که «فعالیت‌های امنیتی» که به جلوگیری از حملات باج‌افزاری کمک می‌کنند، وظیفۀ همۀ افراد است.

«کسب و کارهای کوچک و متوسط» با انجام اقدامات احتیاطی ضروری می‌توانند با قدرت در مقابل حملات «باج‌افزاری» و دیگر حملات دفاع کنند.

[1] bitdefender

[2] Trojans

[3] The Aeneid

[4] Virgil

[5] Datto

[6] Endpoint

[7] Endpoint Detection and Response

[8] Managed Detection and Response

آنتی ویروس سازمانی شرکتی

بدافزار حذف‌کننده اطلاعات، Meteor سرنخ جدید حملات اخیر به وزارت راه و شهرسازی و سیستم ریلی ایران

روزهای پایانی سومین هفته تیرماه، وزارت راه و شهرسازی و سیستم ریلی ایران مورد حملات سایبری قرار گرفت و تمامی سامانه‌های وزارت راه و شرکت راه آهن از دسترس خارج  شدند.گزارش‌ها حاکی از آن بود که این حمله باعث تعویق صد ها قطار یا لغو آن‌ها شده است. چنانچه تصویر نشان می‌دهد بر تابلوی اعلان برنامه قطارهای راه‌آهن در ایستگاه تهران نوشته شده: «تاخیر زیاد بدلیل حملات سایبری» و از مسافران خواسته شده بود تا برای کسب اطلاعات بیشتر، با شماره‌ای تماس بگیرند که متعلق به دفتر مقام معظم رهبری، حضرت آیت الله خامنه ای بود.

پس از گذشت بیش از ۴۸ ساعت از حمله، از مجموع حدود ۴۰۰ سرور، تنها ۵ سرور شروع به فعالیت کردند و به نظر می‌رسید  نسخه‌های پشتیبان یا وجود نداشت یا به دلایلی امکان فعال شدن نداشتند. درگاه وزارت راه و شهرسازی  پس از چند روز  بالا آمد؛ اطلاعات ۴ ماه اخیر از سایت حذف شده بود. بنابراین به نظر می‌رسد آخرین نسخه پشتیبان در دست مربوط به ۴ ماه قبل است.

به گزارش شرکت امن‌پرداز و سنتینل وان SentinelOne، این حمله نتیجه‌ بدافزاری جدید و قبلاً دیده‌نشده‌ به نام «Meteor» است. در این گزارش‌ها آمده است که این اولین استقرار این بدافزار است؛ ولیکن با توجه به تحلیل‌ بدافزار Meteor، از سه سال گذشته کار خود را آغاز کرده است.

خوان آندرس گوئرر، محقق سنتینل وان SentinelOne، خاطرنشان کرده است: «علی‌رغم عدم وجود مشخصه‌های خاص تسخیر، توانستیم مهم‌ترین مولفه‌های این حمله را بازیابی کنیم و ردپای مهاجمی ناشناس  را پیدا کردیم . این بدافزار  برای فلج کردن سیستم‌های قربانی طراحی شده ‌است و هیچ راه‌حلی برای بهبود از طریق مدیریت دامنه یا بازیابی نسخه‌های پشتیبان باقی نمی‌گذاشت».

به نقل از SentinelOne، زنجیره آلودگی‌ها با سو استفاده از سیاست‌های گروهی یا Group Policy اتفاق افتاده که با وارد کردن ابزارهایی متشکل از فایل های batch که برای هماهنگ کردن اجزای مختلف استفاده می شود، صورت می‌گرفت. این فایل‌ها، خود  از چندین فایل آرشیو  RAR استخراج شده اند که به همدیگر متصل هستند و اجزای رمزنگاری فایل سیستم و تغییرات MBR را تسهیل می‌کنند و باعث قفل سیستم میشود. در این تحلیل، فایل‌های batch دیگری هم پیدا شده‌اند که برای قطع اتصال دستگاه های آلوده از شبکه استفاده می‌شوند و مانع از فعالیت سیستم دفاعی ویندوز می‌شوند؛ تکنیکی که اخیراً مورد توجه گروه‌های تهدید قرار گرفته است.

اولین اقدام بدافزار در رابطه با فایل cache.bat است که بر پاکسازی موانع برای حمله عناصر بعدی است.

cache.bat سه عملکرد اصلی را انجام می دهد ابتدا دستگاه آلوده را از شبکه جدا می کند، سپس بررسی می کند که آیا ضد ویروس کسپرسکی بر روی دستگاه نصب شده است یا خیر، اگر نصب بود در این صورت خارج می شود و در غیر اینصورت فایل cache.Bat باعث حذف Windows Defender می شود و راه را برای یک حمله باز می کند.

دو batch files دیگر نیز وجود دارند که Event Log ها را پاک می نمایند، و همچنین یک Task به صورت زمانبندی شده  توسط اسکریپتی به نام mstask ایجاد و تنظیم می شود بدافزار Meteor Wiper را در پنج دقیقه مانده تا نیمه شب اجرا نماید.

بخش اصلی این حمله یک زنجیره ای که بر عهده یک فایل اجرایی با نام env.exe یا msapp.exe است.

این Wiper قادر است اقدامات ذیل را انجام دهد:

  1.  Change Passwords برای تمام یوزرها
  2.  غیر فعال کردن Screensavers
  3.  Process Termination بر اساس یک لیست از پروسس های هدف
  4. نصب Screen Locker
  5. غیر فعال کردن Recovery Mode
  6. تغییر پالیسی های Boot Policy Error Handling
  7. ایجاد لیستی از برنامه های زمان بندی
  8. Log OFF Local Sessions
  9. Delete Shadow Copies
  10. تغییر تصاویر Lock Screen
  11. اجرای خواسته ها

هنگامی که محققان SentinelOne به صورت عمیق تر نرم افزار Wipe را مورد بررسی قرار دادند متوجه این قضییه شدند که این Wiper توسط Developer های متعددی ایجاد شده است؛ همچنین این گزارش اضافه می کند که این Wiper برای این عملیات خاص ساخته نشده است اما تاکنون نیز حمله مشابهی مشاهده نشده و احتمالا حمله کنندگان تحت حمایت یک دولت می باشند.

محققان موفق نشده اند هک شدن  سایت راه آن ایران را به فرد یا تیم خاصی منتسب نمایند اما توضیح داده اند که سطح حمله کننده متوسط می باشد که اجزای تیم عملیاتی او از افراد مبتدی تا خوب تشکیل شده اند، اگرچه آنها نتوانستند دلیل حمله را مشخص کنند ، اما آنها خاطرنشان کردند که به نظر می رسد مهاجمان با تنظیمات کلی سیستم راه آهن ایران آشنا بوده اند و این بدان معناست که هکرها قبل از شروع به حمله در سیستم های این اداره کلی وقت گذرانده اند.