امنیت

اینترنت و شبکه

فناوری اطلاعات

May 3, 2020
11:28 یکشنبه، 14ام اردیبهشتماه 1399
کد خبر: 111423

توصیه‌های مایکروسافت برای مقابله با حملات باج‌افزاری

مایکروسافت هشدار داده که مهاجمان در کارزارهای سایبری در حال آلوده‌سازی مراکز فعال در حوزه سلامت و سرویس‌های حیاتی به باج‌افزارهای از نوع موسوم به Human-operated هستند. در هر یک از مراحل اجرای حملات Human-operated مهاجمان بسته به شرایط و نتایج حاصل شده در مراحل قبلی اقدام به تصمیم‌گیری و طراحی مرحله بعد می‌کنند.
 
به گزارش مرکز افتا، به نقل از پایگاه اینترنتی BleepingComputer، این شرکت اقدام به ارائه توصیه‌هایی در خصوص محافظت از سیستم‌های قابل دسترس بر روی اینترنت در برابر این حملات کرده است.
 
نقطه شروع بسیاری از این حملات، بهره‌جویی (Exploit) از آسیب‌پذیری‌های امنیتی دستگاه‌های قابل دسترس بر روی اینترنت یا اجرای حملات موسوم به سعی‌وخطا (Brute-force) بر ضد سرورهای RDP است تا از این طریق رخنه اولیه به شبکه صورت بگیرد.
 
برای مثال، در جریان حمله به شرکت Travelex مهاجمان پشت‌پرده باج‌افزار Sodinokibi – که با نام REvil نیز شناخته می‌شود – اقدام به بهره‌جویی از دستگاه‌های Pulse VPN کردند. 
 
یا در نمونه‌هایی دیگر می‌توان به بهره‌جویی مهاجمان از آسیب‌پذیری CVE-۲۰۱۹-۱۹۷۸ در Citrix ADC (NetScaler) برای نفوذ به شبکه و انتشار باج‌افزارهایی همچون DoppelPaymer و Ragnarok اشاره کرد.
 
بررسی‌های مایکروسافت نشان می‌دهد که مرحله نهایی توزیع باج‌افزار و رمزگذاری سیستم معمولاً با سرقت اطلاعات با هدف اخاذی بیشتر و استخراج اطلاعات اصالت‌سنجی به‌منظور گسترش آلودگی در سطح شبکه سازمان همراه می‌شود.
 
برای جلوگیری از بروز آن، مایکروسافت به قربانیان بالقوه توصیه می‌کند که گردانندگان پشت‌پرده کارازهای باج‌افزاری را از مورد بهره‌جویی قرار دادن آسیب‌پذیری‌های مورد نظر این تبهکاران عاجز کنند.
 
این شرکت تأکید می‌کند که اعمال اصلاحیه‌های امنیتی بر روی سیستم‌های در معرض اینترنت در مقابله با این حملات حیاتی است.
 
بر اساس داده‌های جمع‌آوری شده توسط Microsoft، مهاجمان در حملات باج‌افزاری اخیر معمولاً از حفره‌های امنیتی زیر سوءاستفاده می‌کنند:
 
♦پودمان‌های Remote Desktop Protocol – به اختصار RDP – یا نقاط پایانی Remote Desktop Protocol فاقد اصالت‌سنجی چندمرحله‌ای (MFA)
 
♦ بسترهایی همچون Windows Server ۲۰۰۳ و Windows Server ۲۰۰۸ که پشتیبانی از آنها پایان یافته و دیگر به‌روزرسانی‌های امنیتی برای آنها عرضه نمی‌شود؛ به‌خصوص اگر از رمزهای عبور ضعیف در آنها استفاده شده باشد.
 
♦ سرورهای تحت وب با پیکربندی نادرست؛ شامل IIS، نرم‌افزارهای پرونده الکترونیک بیمار (EHR)، سرورهای پشتیبان (Backup) و سرورهای مدیریت سیستم‌ها.
 
♦ سیستم‌های Citrix Application Delivery Controller – به اختصار ADC –، آسیب‌پذیر به CVE-۲۰۱۹-۱۹۷۸۱.
 
♦ سیستم‌های Pulse Secure VPN، آسیب‌پذیر به CVE-۲۰۱۹-۱۱۵۱۰.
 
در حالی که Microsoft حملات جدیدی که در جریان اجرای آنها از آسیب‌پذیری‌های CVE-۲۰۱۹-۰۶۰۴ (در Microsoft SharePoint)، CVE-۲۰۲۰-۰۶۸۸ (در Microsoft Exchange) یا CVE-۲۰۲۰-۱۰۱۸۹ (در Zoho ManageEngine) سوءاستفاده شده باشد را مشاهده نکرده اما بر اساس سوابق تاریخی، مورد بهره‌جویی قرار گرفتن آنها توسط مهاجمان در آینده‌ای نزدیک برای راه یافتن به شبکه قربانیان را محتمل می‌داند.
 
همچنین سازمان‌ها می‌بایست نشانه‌های اجرای حملات باج‌افزاری را در بسترهای خود به‌سرعت کشف کنند. از جمله اینکه استفاده از پروسه‌ها/ابزارهای معتبر اما بالقوه مخرب (نظیر PowerShell، Cobalt Strike و ابزارهای مورد استفاده در آزمون‌های نفوذ)، فعالیت‌های مرتبط با سرقت اطلاعات اصالت‌سنجی یا دست‌درازی به لاگ‌های امنیتی را همواره تحت رصد قرار دهند.
 
به‌محض مواجهه با هر یک از این نشانه‌ها، تیم امنیتی سازمان باید انجام اقدامات زیر را برای ارزیابی میزان تأثیر و جلوگیری از گسترش احتمالی تهدید در دستور کار قرار دهد:
 
♦ بررسی نقاط پایانی و اطلاعات اصالت‌سنجی تأثیر پذیرفته.
♦ قرنطینه کردن نقاط پایانی هک/آلوده شده.
♦ توجه ویژه به دستگاه‌ها آلوده به بدافزارهای مرتبط نظیر Emotet و Trickbot که در مواقعی مهاجمان از آنها به‌عنوان ناقل باج‌افزار استفاده می‌کنند.
 
یافتن آسیب‌پذیری‌های در معرض اینترنت که مهاجمان از آنها به‌عنوان درگاهی برای ورود به شبکه استفاده می‌کنند و ترمیم آنها از دیگر اقدمات مهم در دفاع از سازمان در برابر حملات باج‌افزاری است.
 
همچنین Microsoft‌ اعلام کرده گروه‌هایی از مهاجمان با دسترسی یافتن به شبکه‌های هدف برای چندین ماه حضور خود را در آن شبکه‌ها تثبیت کرده بوده و طی دو هفته اول آوریل ۲۰۲۰ اقدام به توزیع ده‌ها باج‌افزار بر روی سیستم‌های متصل به شبکه‌های مذکور کردند.
 
به گفته این شرکت، تا به حال سازمان‌های کمک‌رسان، شرکت‌های معروف به Medical Billing، کارخانجات، شرکت‌های فعال در حوزه حمل‌ونقل، مؤسسات دولتی و تأمین‌کنندگان نرم‌افزارهای آموزشی مورد هدف این حملات قرار گرفته‌اند که نشان می‌دهد که باج‌گیران سایبری ارزشی برای سرویس‌های حیاتی و بحران جهانی قائل نیستند.
 
لازم به ذکر است که سازمان‌های سلامت و درمان و سرویس‌های حیاتی تنها مواردی نیستند که توسط گروه‌های باج‌افزاری هدف قرار می‌گیرند؛ لذا تمامی سازمان‌های دولتی و خصوصی باید با لحاظ کردن اقدامات پیشگیرانه برای مقابله با چنین ریسک‌هایی و انجام واکنش‌های لازم در هر زمانی آماده باشند.
 
همانطور که آمار Microsoft نشان می‌دهد تاریخ اولیه رخنه به شبکه سازمان‌های مورد اخاذی به اوایل سال میلادی جاری باز می‌گردد که در آنها مهاجمان در انتظار فرصت مناسب برای توزیع کدهای مخرب باج‌افزار می‌مانند تا حداکثر منافع مالی را برای آنها داشته باشد.

تکنیک های حمله سایبری که توسط گروه‌های باج افزاری مورد استفاده قرار می‌گیرد
 
مایکروسافت اضافه کرده که بر خلاف آن دسته از حملات باج‌افزاری که از طریق ایمیل منتشر شده و در مدتی کوتاه پس از اجرای فایل مخرب توسط کاربر ناآگاه، دستگاه به باج‌افزار آلوده می‌شود حملات ماه آوریل مشابه با کارازارهای باج‌افزار Doppelpaymer در سال ۲۰۱۹ است که مهاجمان از ماه‌ها قبل از اجرای باج‌افزار به شبکه اهداف خود دسترسی پیدا می‌کردند.
 
آنها در ادامه بی‌سروصدا در بستر مخفی می‌ماندند تا در فرصتی مناسب باج‌افزار را در سطح شبکه توزیع کنند.
در این حملات در حین توزیع باج‌افزار، مهاجمان عمداً حضورشان را بر روی برخی از نقاط پایانی ماندگار می‌کنند تا بتوانند اقدامات مخرب خود را پس از پرداخت باج یا بازسازی سیستم از سربگیرند.
 
گر چه تنها تعداد اندکی از گروه‌های باج‌افزاری به سرقت داده‌ها معروف شده‌اند اما به گفته Microsoft تقریباً در تمامی آنها دیده شده که داده‌ها در جریان حمله، خوانده و حتی استخراج می‌شود؛ حتی در مواردی که مهاجمان فروش اطلاعات سرقت شده را تبلیغ نکرده‌اند.
 
در اوایل مارس نیز مایکروسافت اطلاعاتی در خصوص بردارهای ورود و تکنیک‌های پس از بهره‌جویی در باج‌افزارهای DoppelPaymer، Dharma و Ryuk را به اشتراک گذاشت که بررسی آنها نشان می‌دهد تنظیمات نادرست امنیتی که این مهاجمان از آنها سوءاستفاده می‌کنند بسیار به یکدیگر شباهت دارد.
 
مایکروسافت از اول آوریل به بیمارستان‌ها در خصوص دستگاه‌های VPN و درگاه‌های در معرض اینترنت در شبکه‌های آنها هشدار داده است.
 
باج‌افزارها از جمله مخرب‌ترین تهدیدات سایبری محسوب می‌شوند. بر اساس تحلیل کیف‌های رمزارز و اطلاعیه‌های باج‌گیری، طی سال گذشته، قربانیان بیش از ۱۴۰ میلیون دلار باج را به گردانندگان این بدافزارهای مخرب پرداخت کردند.
 
مشروح توصیه‌های مایکروسافت را می‌توانید در این آدرس بخوانید.
  • مشترک شوید!

    برای عضویت در خبرنامه روزانه ایستنا؛ نشانی پست الکترونیکی خود را در فرم زیر وارد نمایید. پس از آن به صورت خودکار ایمیلی به نشانی شما ارسال میشود، برای تکمیل عضویت خود و تایید صحت نشانی پست الکترونیک وارد شده، می بایست بر روی لینکی که در این ایمیل برایتان ارسال شده کلیک نمایید. پس از آن پیامی مبنی بر تکمیل عضویت شما در خبرنامه روزانه ایستنا نمایش داده میشود.

    با عضویت در خبرنامه پیامکی آژانس خبری فناوری اطلاعات و ارتباطات (ایستنا) به طور روزانه آخرین اخبار، گزارشها و تحلیل های حوزه فناوری اطلاعات و ارتباطات را در هر لحظه و هر کجا از طریق پیام کوتاه دریافت خواهید کرد. برای عضویت در این خبرنامه، مشترکین سیمکارت های همراه اول لازم است عبارت 150 را به شماره 201464 و مشترکین سیمکارت های ایرانسل عبارت ozv ictn را به شماره ۸۲۸۲ ارسال کنند. دریافت موفق هر بسته خبری که محتوی پیامکی با حجم ۵پیامک بوده و ۴ تا ۶ عنوان خبری را شامل میشود، ۳۵۰ ریال برای مشترک هزینه در بردارد که در صورتحساب ارسالی از سوی اپراتور مربوطه محاسبه و از اعتبار موجود در حساب مشترکین سیمکارت های دائمی کسر میشود. بخشی از این درآمد این سرویس از سوی اپراتور میزبان شما به ایستنا پرداخت میشود. مشترکین در هر لحظه براساس دستورالعمل اعلامی در پایان هر بسته خبری قادر خواهند بود اشتراک خود را در این سرویس لغو کنند. هزینه دریافت هر بسته خبری برای مشترکین صرفا ۳۵۰ ریال خواهد بود و این هزینه برای مشترکین در حال استفاده از خدمات رومینگ بین الملل اپراتورهای همراه اول و ایرانسل هم هزینه اضافه ای در بر نخواهد داشت.