معروف‌ترین حملات باج افزاری

در دو قسمت اول این مجموعه که به موضوع  باج‌افزار اختصاص دارد، ما به موضوع چیستی باج افزار و پیشگیری و محافظت از دستگاه های شما در برابر آن می‌پردازیم. در بخش سوم و آخر، ده مورد از بزرگترین و مشهورترین حملات باج افزاری قرن تا به امروز را بررسی خواهیم کرد.

 

1.لاکی (Locky)

لاکی نخستین بار در سال 2016 توسط یک سازمان هکری برای حمله مورد استفاده قرار گرفت. آنها بیش از 160 نوع فایل را رمزگذاری کردند و به کمک ایمیل‌های جعلی با پیوست‌های آلوده، ویروس خود را منتشر کردند. کاربران در دام ایمیل‌های آلوده گرفتار شدند و باج‌افزار روی رایانه‌های آنها نصب گردید. این روش انتشار فیشینگ نامیده می‌شود؛ نوعی مهندسی شبکه‌های اجتماعی. باج‌افزار لاکی فایل‌هایی را هدف قرار می‌دادکه غالبا مورد استفاده طراحان، توسعه‌دهندگان و مهندسان بودند.

2. واناکرای (WannaCry)

در تاریخ 12 می 2017 بود که بسیاری از کارشناسان ادعا کردند واناکرای مقوله امنیت سایبری را برای همیشه تغییر داده است. این بزرگترین حمله‌ای بود که جهان تا به حال دیده بود و منجر به پس لرزه‌های بزرگی در دنیای تجارت، سیاست، هک و صنعت امنیت سایبری شد.واناکرای در بیش از 300 سازمان در 150 کشور بزرگ خود را انتشار داد. این نوع از انتشار آلودگی آنقدر بزرگ بود که حتی پس از یافتن کیل سوئیچ (kill-switch) ، ویروس همچنان تمام سیستم‌ها و داده‌هایی را که تاآن زمان با آن‌ها در تماس بود تهدید می‌کرد. برآوردها حاکی از خسارتی معادل 4 میلیارد دلار بود به‌طوریکه سازمان سلامت همگانی بریتانیا به تنهایی بیش از 92 میلیون پوند خسارت دید. ردیابی این حمله کارشناسان را به گروه لازاروس رساند که پیوندهای قوی با کره شمالی دارد، اما جزئیات آن هنوز در هاله‌ای از ابهام باقی مانده است.

3. خرگوش بد (Bad Rabbit)

خرگوش بد یک حمله باج‌افزاری در سال 2017 بود که از طریق حملات درایو بای (Drive-by) سرایت پیدا کرد. در یک حمله باج‌افزاری درایو بای، کاربر در حال بازدید از یک وب‌سایت است  غافل از اینکه هکرها اختیار آن وب‌سایت را در دست دارند. در اکثر حملات درایو بای، فقط کافیست که کاربر از صفحه‌ای که به این روش در معرض خطر قرار دارد بازدید کند؛ شبیه به داستان شنل قرمزی و مادربزرگ و گرگ. خرگوش بد از کاربر درخواست می‌کند که یک برنامه Adobe Flash  جعلی را اجرا کند که در نهایت رایانه کاربر توسط بدافزار آلوده می‌شود.

4. ریوک (Ryuk)باج افزار ریوک یک تروجان رمزگذاری است که در تابستان 2018 انتشار و سرایت پیدا کرد و عملیات‌ برگشت‌پذیری یا بازیابی را در سیستم عامل ویندوز

مسدود می‌کرد. این باج‌افزار بازیابی داده‌های رمزگذاری شده را که فاقد پشتیبان‌گیری اکسترنال بودند غیرممکن می‌ساخت. علاوه بر این، ریوک هارد دیسک های شبکه را رمزگذاری می‌کرد. تأثیرات این باج‌افزار ویرانگر بود: در گزارشی مشخص‌شد که اکثر سازمان‌های آمریکایی که هدف این حمله قرار گرفتند مبالغ باج را پرداخت کرده‌اند. کل خسارت بیش از 650000 دلار برآورد شد.

5. سودینوکیبی (Sodinokibi) با نام مستعار ریویل (REvil)

باج‌افزار سودینوکیبی (یا ای کی ای ریویل (AKA REvil) ) برای اولین بار در سال 2019 ظاهر د. ازجمله مشخصه‌های این باج‌افزار می‌توان به ظرفیت بسیار بالای گریز و برخورداری از راهکارهای بی‌شماری در اجتناب از شناسایی اشاره کرد.  این باج افزار در سطح بسیار وسیعی به اهدافی در سراسر جهان حمله کرد. کانون اصلی حملات اروپا، ایالات متحده آمریکا و هند بود. چندین ناقل آلودگی آن شامل سوء استفاده از آسیب پذیری‌های امنیتی شناسایی شده و همچنین به‌کارگیری سلسله عملیات فیشینگ ایمیل است.در آوریل 2021، گروه منتشر کننده سودینوکیبی مدعی شدند شبکه کامپیوتری کوآنتا، یک شرکت تایوانی تولیدکننده مک‌بوک، را هک کرده است. آنها 50 میلیون دلار برای ارائه کلید رمزگذاری طلب کردند، اما کوآنتا تسلیم نشد. اندکی پس از این کشمکش‌ها که  جنبه عمومی به خود گرفته بود، این گروه تهدیدات خود را عملی کرد و شماتیک‌های مختلف مک بوک و فهرست‌های کامپوننت را منتشر کرد. ماه گذشته دو نفر از مجرمان سایبری تحت تعقیب و دستگیری قرار گرفتند.

6. کریپتولاکر (CryptoLocker)

کریپتولاکر تروجان دیگری بود که در سال 2013-2014 وب را تهدید کرد. از طریق ایمیل‌های فیشینگ (و پیوست‌های آلوده ایمیل‌ها) پخش شد. کریپتولاکر مانند بسیاری از ویروس‌ها، با رمزگذاری فایل‌های قربانیان کار خود را آغاز می‌کرد و سپس هکرها برای بازکردن قفل فایل‌ها باج طلب می‌کردند (معمولاً 400 دلار یا یورو).این تروجان در نهایت توسط ارگان های مختلف، مانند سازمان اف بی آی و اینترپل، در عملیات توار (Tovar) از بین رفت. در چنین مواقعی برآورد خسارت اقتصادی کار دشواری است، زیرا به نظر می‌رسد ارقامی که افراد به باج‌خواهان پرداخت می‌کنند بسته به منابع بسیار متفاوت است اما با این حال به میلیون ها دلار می‌رسد.

7. پتیا (Petya)

پتیا یک حمله باج افزاری است که در سال 2016 رخ داد و در سال 2017 تحت نام گلدن آی (GoldenEye) احیا شد. این باج افزار مخرب به جای رمزگذاری فایل های خاص، کل هارد دیسک قربانی را رمزگذاری می‌کرد. این کار با رمزگذاری جدول فایل اصلی (MFT) انجام می‌شد که دسترسی به اطلاعات را غیرممکن می‌ساخت. باج افزار پتیا از طریق یک اپلیکیشن جعلی، که حاوی یک لینک دراپ باکس آلوده بود، در بخش‌های منابع انسانی شرکت‌ها گسترش می‌یافت. نوع دیگری از آن پتیا 2.0 نام دارد که هر دو  به یک اندازه برای دستگاه قربانی مرگ‌آور هستند.

8. گلدن آی (Golden Eye)

احیای پتیا تحت عنوان گلدن آی در سال 2017،  منجر به یک آلودگی باج افزاری گسترده در سطح جهان شد.  گلدن ای که به عنوان «خویشاوند مرگبار» واناکرای شناخته می شود به بیش از 2000 هدف حمله کرد.  قربانیان شامل تولیدکنندگان بزرگ نفت در روسیه و همچنین چندین بانک بودند. گلدن آی حتی پرسنل نیروگاه هسته‌ای چرنوبیل را ناچار کرد که پس از قفل شدن سیستم‌عامل ویندوز خود، به صورت دستی سطوح تشعشعات را بررسی کنند.

9. نات پتیا (NotPetya)

در ژوئن 2017، گونه جدیدی از باج افزار در اوکراین کشف شد. نات پتیا به سرعت در سراسر اروپا گسترش یافت و بانک‌ها، فرودگاه‌ها و شرکت‌های انرژی را هدف قرار داد. از آنجایی که این باج‌افزار حدود 10 میلیون دلار خسارت به بار آورد، از آن به عنوان یکی از مخرب ترین حملات باج‌افزار در تاریخ یاد می‌شود.نات پتیا به صورت دستی رایانه‌های قربانیان را ری‌استارت کرده و جدول فایل اصلی هارد دیسک (MFT) را رمزگذاری می‌کند؛ سپس با غیرقابل اجرا کردن رکورد بوت اصلی (MBR) و با سرقت اطلاعات کاربری و مکان دیسک فیزیکی قربانی، از دسترسی او به سیستم جلوگیری می‌نماید. پس از اینکه یک رایانه کاملا آلوده شد، نات پتیا به اسکن شبکه لوکال پرداخته و بلافاصله همه رایانه‌های دیگر در همان شبکه را آلوده می‌کند.

10. سام سام (SamSam)

باج افزار سام سام در اواخر سال 2015 شناسایی شد و در سال های بعد به طور قابل توجهی گسترش یافت. سازندگان آن اهداف خاصی را برای حملات خود انتخاب می‌کنند: به طور خلاصه، کسانی که احتمالاً برای بازگرداندن داده‌های خود ناچار به هزینه کردن هستند؛ مانند بیمارستان‌ها و دانشگاه‌ها. باج‌های درخواست شده بسیار بالاتر از میانگین بازار است و اخیراً به 6 میلیون دلار درآمد غیرقانونی رسیده است.

باج افزار سام سام برای دسترسی به شبکه قربانیان از آسیب‌پذیری‌های امنیتی استفاده می‌کند؛ به طور جایگزین در برابر رمز عبورهای ضعیف تاکتیک بروت فورس (brute-force) را به اجرا در می‌آورد. هنگامی که مجرم سایبری وارد شبکه می‌شود، ترکیبی از ابزارهای هک را برای پیشبرد اهداف خود به کار می‌گیرد  تا زمانی که در نهایت به اکانت مدیریت دامنه برسد.

امیدواریم این مقاله برای شما مفید واقع شده باشد. مثل همیشه، اگر برای شما مفید ویا جالب بود لطفاً آن را با دوستان و همکاران خود به اشتراک بگذارید تا از جامعه آنلاین محافظت شود.

پلاگ این وردپرس

باگ پلاگین وردپرس All in One SEO سه میلیون وبسایت را با سرقت شناسه تهدید می‌کند

پلاگ این وردپرس

یک آسیب‌پذیری بهره‌برداری از باگ‌های حیاتی می‌تواند باعث ایجاد درهای پشتی برای دسترسی ادمین در سرورهای وب شود

یک پلاگین معروف بهینه‌سازی سئوی وردپرس به نام All in One SEO وقتی در یک زنجیره بهره‌برداری قرار می‌گیرد یک جفت (pair) آسیب‌پذیری امنیتی بوجود می‌آورد که می‌تواند مالکین وبسایت‌ها را در معرض خطر سرقت سایت قرار دهد. این پلاگین  در بیش از 3 میلیون وبسایت استفاده شده است.

یک حمله‌کننده که در سایت حساب کاربری دارد – مثلا یک مشترک، یا دارنده حساب خرید – می‌تواند از چاله‌هایی بهره‌مند شود که طبق تحقیقات انجام شده در Sucuri نوعی بهره‌برداری از باگ و SQL Injection هستند.

محققین در Wednsday بیان کردند که «وبسایت‌های وردپرس بصورت پیشفرض به همه کاربران وب اجازه می‌دهند حساب کاربری ایجاد کنند. حسابهای جدید بصورت پیشفرض از رتبه مشترکی برخوردار هستند و هیچ قابلیتی جز نوشتن کامنت به آنها اختصاص داده نمی‌شود. اما برخی آسیب‌پذیریهای مشخص نظیر آسیب‌پذیریهای که اخیرا کشف شده است به این مشترکین اجازه می‌دهند اولویت‌های بیشتری نسبت به اولویت‌های مجاز بدست بیاورند».

طبق گفتۀ Sucuri این زوج به اندازه کافی برای بهره‌برادری آسان رشد کرده است، لذا کاربران باید نسخه خود را به نسخه پچ شدۀ v. 4.1.5.3 Marc Montpas ارتقا دهند. این نسخه توسط یک محقق امنیتی با یافتن باگ‌ها اعتباربخشی شد.

 

تعدیل اولویت و SQL Injection

از بین این دو باگ، مشکل تعدیل اولویت مهمتر است. این مشکل بر نسخه‌های 4.0.0 و 4.1.5.2 ی All in One SEO تاثیر می‌گذارد. در مقیاس شدت- آسیب‌پذیری CVSS امتیاز 9.9 از 10 به آن تعلق گرفته است، زیرا بهره‌برداری بسیار آسان است و می‌توان برای مقرر نمودن در پشتی در وب‌سرور از آن استفاده کرد.

محققین در Sucuri بیان کرده‌اند که صرفا با تغییر حرف کوچک یک کاراکتر درخواست به حرف بزرگ می‌توان از این آسیب‌پذیری بهره برد.

اساسا این پلاگین دستورات را به نقاط انتهایی مختلف REST API می‌فرستد و یک بررسی مجوزات انجام می‌دهد تا مطمئن شود کسی کار غیرمجازی انجام ندهد. اما مسیرهای REST API حساس به حالت حرف هستند، لذا کافیست حمله‌کننده کوچک یا بزرگ بودن یک کاراکتر را تغییر دهد تا از بررسی‌های احراز هویت عبور کند.

محققین Sucuri می‌گویند «این آسیب‌پذیری وقتی استفاده شود می‌تواند فایل‌های بخصوصی را در ساختار فایل وردپرس رونویسی کند، و دسترسی در پشتی برای هر حمله‌کننده‌ای فراهم شود. این امکان سرقت وبسایت را فراهم می‌سازد و می‌تواند اولویت‌های حساب‌های مشترک را به ادمین ارتقا دهد».

باگ دوم یک هسته پرشدت CVSS از 7.7 را حمل می کند و بر نسخه‌های 4.1.3.1 و 4.1.5.2 تاثیر می‌گذارد.

بطور ویژه، این مشکل در یک نقطه انتهایی API به نام «/wp-json/aioseo/v1/objects» واقع است. اگر طبق گفته Sucuri، حمله‌کنندگان از آسیب‌پذیری قبلی برای ارتقای امتیازات خود به سطح ادمین استفاده کنند، قابلیت دسترسی به نقطه انتهایی را بدست خواهند آورد و در نتیجه می‌توانند دستورات مخرب SQL را به پایگاه‌داده پشتی ارسال کنند و اعتبارنامه‌های کاربر، اطلاعات ادمین و داده‌های مهم دیگر را بازیابی نمایند.

طبق گفته محققین، کاربران All in One SEO برای ایمنی خود لازم است نسخه خود را به نسخه پچ شده ارتقا دهند. گام‌های دفاعی دیگر عبارتند از:

  1. بازیابی کاربران مدیر (ادمین) در سیستم و حذف کاربران مشکوک؛
  2. تغییر همه گذرواژه‌های حساب مدیر؛ و
  3. افزودن سخت‌گیریهای بیشتر به پنل مدیر.
بهشت پلاگین برای هکرهای وبسایت

محققین می‌گویند پلاگین‌های وردپرس هنوز برای مهاجمان سایبری به عنوان یک زمینه و مسیر جذاب تلقی می‌شوند. به عنوان مثال در ماه دسامبر یک حمله فعال علیه بیش از 1.6 میلیون سایت وردپرس انجام شد. محققین ده‌ها میلیون تلاش برای بهره‌وری از پلاگین‌های مختلف و چند چهارچوب اپسیلون ثبت کرده‌اند.

یوریل مایمون مدیر اجرایی پیشین فناوریهای نوظهور در شرکت PerimeterX در یک ایمیل گفته است «پلاگین‌های وردپرس هنوز خطری جدی برای همه کاربردهای وب تلقی می‌شوند و لذا یک هدف رایج برای حمله‌کنندگان خواهند بود. کد سایه از طریق پلاگین‌های شخص ثالث معرفی شد و چهارچوب‌ها بطور گسترده سطح حمله را برای وبسایت‌ها توسعه می‌دهند».

وقتی باگ‌ها جدید پدیدار می شوند، وضعیت خطرناک می‌شود. به عنوان مثال اوایل ماه جاری پلاگین «Variation Swatches for WooCommerce» که در 80،000 خرده فروشی دارای وردپرس نصب شده بود حاوی یک آسیب پذیری امنیتی ذخیره شده بین سایت اسکریپت (XSS) بود که به مهاجمین سایبری اجازه می‌داد اسکریپت‌های مخرب را  تزریق کنند و کنترل سایت‌ها را بدست بگیرند.

طبق گفته محققین در ماه اکتبر دو آسیب‌پذیری قوی در Post Grid، یک پلاگین وردپرس با بیش از 60،000 نصب، راه را برای سارقان شناسه سایت باز کرده بود. باگ‌های نسبتاً مشابهی در پلاگین همتای Post Grid، یعنی Team Showcase یافت شد که دارای 6،000 نصب است.

در همین ماه اکتبر، یک باگ پلاگین وردپرس در پیشنهاد واردکننده دموی Hashthemes کشف شد، که به کاربران دارای مجوزهای ساده اجازه می‌داد سایت‌هایی با هر محتوایی را از بین ببرند.

مایمون گفته است «دارندگان وبسایت‌ها باید در مورد پلاگین‌ها و چهارچوب‌های شخص ثالث مراقب باشند و بروزرسانی‌های امنیتی انجام دهند. آنها باید با استفاده از دیوارهای آتش برنامه‌های وب وبسایت‌های خود را ایمن سازند. همچنین، از راهکارهای قابلیت رویت سمت کلاینت استفاده کنند که وجود کد بدخواه را در سایت تشخیص می‌دهد».

شرکت مهندسی ابل رایان پویا

 

بیت دیفندر سازمانی

چگونه: از یک محیط سالم و مقاوم در برابر باج ­افزار مطمئن شویم

چگونه: از یک محیط سالم و مقاوم در برابر باج ­افزار مطمئن شویم

در دو سال اخیر تغییرات بنیادی در عملیات کسب ­و­کار در سراسر جهان رخ داده است. برای تطبیق با مشکلات ایجاد شده در اثر بیماری همه­ گیر، کسب­ و­کارهای زیادی به دورکاری کامل یا نیمه دورکاری روی آورده­ اند و داده­ های زیادی را به ابر (اطلاعاتی) منتقل کرده ­اند. در حالی که این کار مزایای خود را دارد، سبب افزایش تهدیدات شده است و پیامدهای آن در همه­ گیری باج ­افزار ی اخیر مشخص شده است.

افزایش حملات باج ­افزار ی سبب ایجاد هزینه در رابطه با داده ­های با ارزش، زمان و پول برای کسب ­و­ کارها در صنایع مختلف شده است، اما این امر به این معنی نیست که باید وجه مورد نظر (باج) را نیز پرداخت نمود. این مقاله به بررسی چالش­های مهمی می­پردازد که کسب ­و­کارها در هنگام مواجهه با باج ­افزار با آن روبرو می­شوند و بهترین شیو­ه ­ها برای پشتیبانی از محیط کسب ­و­کار و حفظ سلامت داده ­ها در هر موقعیتی را مورد تحقیق قرار می­دهد.

همواره شبکه خود را بررسی کنید

در اولین مورد، باج­ افزار می­تواند به سادگی از طریق یک شبکه گسترش یابد. اگر شما ندانید که در شبکه شما چه اتفاقی رخ می­دهد، نمی­توانید از داده ­های حیاتی پشتیبانی کنید و حملات را پیش ­بینی کنید. دائماً ترافیک شبکه را رصد کنید، فعالیت­های مشکوک را شناسایی کرده و بر اساس آن­ها اقدام کنید.

پشتبان­ گیری منظم مهم است

شناسایی و پشتیبان­ گیری از داده ­های حیاتی، گامی ضروری برای اجتناب از رمز­گذاری توسط حملات باج­ افزاری است. با این حال، باج­ افزار می­تواند همچنان داده ­های پشتیبان را رمز­گذاری کند، بنابراین مطمئن شوید که از پشتیبان­ها در مکانی مجزا مانند یک وسیله محلی یا ابر، نسخه­ برداری کرده ­اید تا از در دسترس بودن و قابلیت بازیابی حداکثری مطمئن شوید. در صورت حمله، بررسی کنید که پشتیبان ­های شما قبل از بازیابی، آلوده نباشند.

یک برنامه خوب برای بازیابی حوادث ایجاد کنید

برای حذف خطرات آلودگی با باج­ افزار، باید یک برنامه بازیابی حوادث جامع ایجاد نموده و دائماً آن را بررسی کنید که این برنامه هر جنبه­ ای از وضعیت حادثه را پوشش دهد. به جای این­که تنها گزینه شما، پرداخت باج (به باج­ افزار) باشد، یک برنامه بازیابی حوادث خوب می­تواند عملیات کسب­ و­کار را با حداقل آسیب، ترمیم کند.

از راه ­حل­های پشتیبان­ گیری قدیمی استفاده نکنید

اگر از راه­ حل حفاظت اطلاعات برای راهبردهای پشتیبان ­گیری و بازیابی حوادث استفاده می­کنید، از یک راه­ حل جدید با قابلیت­های مطمئن مقابله با باج­ افزار بهره ببرید. راه­ حل­های قدیمی پشتیبان­گیری از روش­های قدیمی برای مبارزه با تهدید در حال گسترش استفاده می­کنند و به دلیل وابستگی به اجزای قدیمی ­تر مانند عوامل پشتیبان­ گیری، می­توانند منابع سیستم را هدر دهند.

ماژول ضد باجگیر پادویش قابلیت پشتیبان گیری از اطلاعات شما را دارد. این ماژول کنار سایر محصولات امنیتی آنتی ویروس نصب میشود.

کارکنان را هوشیار و آگاه نگه دارید

حملات موفق باج­ افزاری فقط به مولفه ­های فنی شرکت وابسته نیستند، زیرا عامل انسانی می­تواند یک هدف آسان باشد. دلیل آموزش مناسب کارکنان در مورد چگونگی کار باج ­افزارها و این­که چگونه می­توانند از آلودگی ممانعت کنند، شامل اجتناب از لینک­ها یا ضمائم مشکوک همین امر است.

بر دسترسی دقیق نظارت داشته باشید

مدل امنیت اعتماد صفر (به هیچ کس اعتماد نکنید) می­تواند نجات­ دهنده یک زیرساخت سالم باشد. برای جلوگیری از دسترسی و رمزگذاری اطلاعات خود توسط مهاجمان، مطمئن شوید که کارکنان فقط می­توانند به اطلاعات موردنیازشان دسترسی داشته باشند. این امر می­تواند نقاط استفاده باج­ افزار را محدود نموده و امنیت کلی را بهبود ببخشد.

برای این امر میتوانید از سامانه کنترل دسترسی PAM استفاده نمایید.

 داده ­های پشتیبان را رمزگذاری کنید

مهم است که مطمئن باشید که داده ­های پشتیبان شما در مدت انتقال، رمزگذاری شده است، خصوصاً در WAN (شبکه رایانه­ ای گسترده). رمزگذاری مطمئن، یکپارچگی و امنیت اطلاعات در برابر مهاجمان احتمالی را حفظ می­کند. اگر محل هدف کاملاً ایمن نیست، به منظور امنیت حداکثری، داده­ ها را در حالتی که منتقل نمی­شوند نیز رمزگذاری کنید.

همه چیز را به ­روز کنید

مطمئن شوید که بر روی همه نرم­افزارها و سیستم­ عامل­ها در شرکت شما همواره آخرین نسخه امنیتی، نصب شده است. به­روز رسانی­ها اغلب سبب بهبود امنیت می­شوند که عیوب احتمالی در زیرساخت­های شما را کاهش می­دهد.

از USB خارجی استفاده نکنید

هرگز یک USB ناشناس را به هیچ وسیله ­ای در شبکه خود متصل نکنید. یک شیوه رایج که توسط مجرمان سایبری استفاده می­شود، گذاشتن USB آلوده به باج­ افزار در مکان­های عمومی است تا افراد موردنظر آن­ها را بردارند و استفاده کنند.

از طریق دیوایس کنترل آنتی ویروس سازمانی پادویش و بیت دیفندر دسترسی USB را ببندید.

ایمیل (رایانامه) ها را فیلتر کنید

رایانامه یک راه ورود رایج برای حملات باج­ افزاری است. علاوه بر آموزش آگاهی امنیتی، شما می­توانید با استفاده از فناوری فیلترینگ ایمیل از نفوذ توسط ایمیل هم جلوگیری کنید تا محتوای فیشینگ (تله ­گذاری اطلاعاتی) به صندوق ورودی شما در شبکه رخنه نکند.

به باج­ افزار باج ندهید

مجرمان سایبری با انجام حملات موفق، از پول باج برای تولید باج­ افزاری قوی­تر استفاده می­کنند که سبب چرخه خطرناکی از حملات موفق و ایجاد بدافزاری قوی­تر خواهد شد. علیرغم این امر، شما هنوز می­توانید با احتیاط و جلوگیری موثر، داده ­های ارزشمند خود را از حملات مخرب حفظ کنید.

بیت دیفندر سازمانی

باج افزار RaaS چیست و چرا خطرناک است؟

پوشیده نیست که باج افزار (ransomware ) سریعا به خطرناک­ترین تهدید برای سازمان­ها تبدیل می­شود. تعداد حملات باج افزار به صورت چشمگیری در حال افزایش است، که عمدتا ناشی از پاندمی کرونا است. به­ صورت جهانی، حملات باج افزار در سال 2020 به بیش از 60% افزایش یافت که 158% آن در آمریکای شمالی بود و ادارۀ فدرال تحقیقات (FBI) 20 % بیشتر شکایات از باج افزار دریافت کرد. در نیمۀ اول سال 2020، حملات باج افزار در مقایسه با دورۀ زمانی مشابه در سال گذشته به 151% افزایش یافت.

یکی از دلایلی که حملۀ باج افزار فراوان شده است، افزایش RaaS یا باج افزار به­عنوان سرویس است. این مساله به چگونگی انجام حملات و استقرار باج افزار در شبکه ها است که شانس موفقیت را افزایش می دهد.  ما این توسعه باج‌افزار جدید را بررسی می‌کنیم و نکاتی را در مورد اینکه چگونه می‌توانید بهتر از خود دفاع کنید به شما ارائه می‌کنیم.

باج افزار به چه صورت عمل می­کند؟

باج‌افزار تا حد زیادی از طریق Exploit-kit ها ساخته میشود. ابزاری که می‌توان از طریق انجمن‌های هکری و Dark Web خریداری کرد. باج افزار Hermes مثال خوبی است. اکسپلویت کیت ها، حاوی بدافزار، روتکیت‌ها و باج‌افزار هستند که معمولاً به منظور استفاده از یکی از آسیب‌پذیری های موجود ساخته می‌شوند که به بدافزار اجازه می‌دهد تا شبکه را آلوده کند. این امر به خریدار این امکان را می دهد که تلاش کند تا سازمان را با یک بدافزار آلوده کند در صورتی که سازمان آسیب‌پذیری های مربوطه را اصلاح نکرده باشد٬ اما هکرها می‌توانند از انواع دیگر حملات مانند فیشینگ برای نفوذ استفاده کنند.

بسته به اکسپلویت کیتی که یک هکر میتواند خریداری کند، هکر می­تواند حملۀ مخربی را ترتیب دهد که این حمله ممکن است شامل باج افزار کدگذاری شده در یک فایل مخرب باشد که پاداش های تمام افرادی که فایل را دانلود کرده اند را گرداوری می­کند. در هر حال، این نوع از باج افزار بطور گسترده­ای بدلیل نبود کارایی دچار رکود شده است.

مدل قدیمی نفوذ مربوط به ارسال ایمیل‌های فیشینگ است  با این امید که فردی یک پیوست مخرب را دانلود کند، که اغلب کار نمی‌کند. ضد فیشینگ، AV، شناسایی بدافزار، فیلترهای هرزنامه می توانند این نوع حملات باج افزار را در مراحل مختلف زنجیره حمله متوقف کنند.

حتی در مقابل با باج افزار کالا (commodity ransomware) مانند هرمس، داشتن فایل پشتیبان  (Backup File) برای مواجهه با حملات باج افزار کافی است.

از آن جایی که باج افزار در دسترس تمامی خریداران قرار دارد، محققان امنیت توانستند کلیدهای کشف رمز (Decryption keys) را توسعه دهند و هدف­ها را از باج افزار دور کنند، بدون آن که آنها را وادار به پرداخت باج به حمله کنندگان کنند و در عوض، توسعه­دهندگان باج افزار را وادار می­کنند که فایل های مخرب خود را بطور پیوسته به روز رسانی کنند (بدلیل اینکه آنتی ویروس ها آنها را شناسایی کرده اند، پس باید تغییراتی در آنها داده شود تا دوباره هکر ها بتوانند از آنها استفاده ببرند).

و نتیجه میگیریم حملات باج افزار چندان کارامد و موثر نبودند و هکرها باید روش دیگری را پیدا کنند.

توصیف باج افزار به عنوان سرویس

خطرناک ترین گروه های باج افزار تصمیم گرفتند موثرترین باج افزار خود را خصوصی کنند و یک قدم فراتر بروند. به جای اینکه آن را بفروشند و به عاملین بد اجازه دهند آزادانه از آنها استفاده کنند، تصمیم گرفتند باج افزار را به صورت یک وب سرویس لایسنس دار در بیاورند، و به صورت درصدی هزینه ها را با خریداران این سرویس های مخرب تقسیم کنند.

این بدان معناست که یک عامل بد خدمات گروه‌های هکر را به طور کامل برون‌سپاری می‌کند– این موضوع تغییری اساسی در نحوه انجام حملات باج‌افزار به شمار میرود.

گروه‌های هکر به‌جای استفاده از این ابزار در حملات فیشینگ و هرزنامه‌ها، یا به سازمان‌های هدف نفوذ می‌کنند یا باج‌افزار را در اهدافی که عوامل مخرب قبلاً راه خود را پیدا کرده‌اند، مستقر می‌کنند.

این مساله دو مزیت برای حمله کننده های باج افزار به همراه دارد:

سازمان­هایی که قبلا به خطر افتاده ­اند:  این حملات حملاتی با سبک سنتی نیستند بلکه حملات هدفمند تری هستند که یک سازمان به خطر افتاده را آلوده می‌کنند و شانس موفقیت را افزایش می‌دهند. و از آنجا که عوامل مخرب در حال حاضر در محیط یک شرکت هستند، احتمال بیشتری وجود دارد که باج افزارها بخش بزرگتری از شبکه سازمان را تحت‌تاثیر قرار دهد.

هیچ کلید رمزگشایی در دسترس وجود ندارد: امنیت سایبری به اطلاعات بستگی دارد. این واقعیت که باج‌افزار در چنین مقیاس وسیعی مورد استفاده قرار می‌گرفت، امکان توسعه کلیدهای رمزگشایی را برای محققان امنیتی فراهم کرد. با این حال، باج‌افزار خیلی در دسترس نیست و تنها در برابر سازمان‌ها به‌طور کم استفاده می‌شود که این مسئله ساخت کلیدهای رمزگشایی را دشوارتر می‌کند.

باج افزار Ryuk مثال خوبی برای این موضوع است. این باج افزار که فقط توسط گروه هکر WIZARD SPIDER مجوز داده شده است، اشتراکات زیادی با هرمس دارد، اما تنها شرکت های بزرگ را با این باج افزار هدف قرار می دهد. و از آنجایی که به طور گسترده برای خرید در دسترس نیست، ویژگی های مخصوص به قربانی را برای هر حمله ایجاد می کند که ایجاد یک کلید رمزگشایی برای آن را بسیار دشوارتر می کند.

 

RaaS احتمالا به هنجار جدید تبدیل می­شود

متاسفانه، این توسعۀ جدید احتمالا حفظ می­شود. روش جدید، مزایای بیشتری برای متهاجمان دارد. هکر مخرب به دنبال آن است تا سازمانی را آلوده کند که احتمال موفقیت در آن بالاتر است و گروه باج افزار بدون انجام دادن کار بیشتر قادر به انجام حمله و سرقت اطلاعات است.

در نتیجه، قبلاً دیده‌ایم که گروه‌های باج‌افزار مدل کارتلی را اتخاذ کرده و با گروه‌های باج‌افزاری کوچک‌تر کار می‌کنند و شبکه‌ای سازمان‌یافته از مجرمان باج‌افزار را ایجاد می‌کنند. موفقیت مشاهده شده این مدل به این دلیل است که احتمالاً این مدل باقی می ماند و در آینده نزدیک افزایش می یابد.

این مساله بخشی از این دلیل است که حملات باج افزار بسیار افزایش یافته است و ما شاهد پرداخت های بزرگتر و بزرگتر هستیم. متوسط پرداخت باج افزار به طور چشمگیری افزایش یافت و به بیش از 300 هزار دلار در سال 2020 رسید که نشان دهنده افزایش 171 درصدی است.

سازمان­ها همچنان می­توانند از خودشان در برابر RaaS محافظت کنند.

با وجود این تحولات جدید، این بدان معنا نیست که سازمان ها در برابر این سبک از حملات درمانده هستند. خوشبختانه، سازمان ها می توانند از ابزارها، فرآیندها و راه حل های موجود برای محافظت از خود در برابر باج افزار استفاده کنند.

در اینجا چند زمینه وجود دارد که باید آنها را در اولویت قرار دهید.

دفاع سنتی در مقابل باج افزار را متوقف نکنید

فیلترهای هرزنامه، AV، و ابزارهای تشخیص و حذف ضد بدافزار به اندازه کافی موثر بوده اند تا مجرمان را مجبور به اتخاذ روش های دیگر کنند و حتی ممکن است مانع از اجرای باج افزار در محیط شما شوند. این ابزارها و همچنین برنامه های آموزشی آگاهی امنیتی باید همچنان مورد استفاده قرار گیرند و اولویت بندی شوند.

همیشه نسخه­ های پشتیبان همراه داشته باشید

اگر می‌توانید از فایل‌های خود نسخه پشتیبان تهیه کنید یا محیط خود را به مرحله قبل از آلودگی باج‌افزار برگردانید، برای شروع فرآیند بازیابی نیازی به پرداخت باج ندارید. اطمینان حاصل کنید که پشتیبان‌های شما کاملاً از شبکه اصلی شما جدا شده‌اند تا از آلودگی جلوگیری کنید.

 

 

روی ابزارهای نظارت و شناسایی سرمایه گذاری کنید

 

پیش درآمد این حملات باج افزار جدید، نفوذ است. اگر بتوانید ورود یک فرد غیرمجاز به شبکه خود را شناسایی کنید، می توانید از حمله جلوگیری کرده و به طور بالقوه آنها را قبل از اینکه آسیبی وارد کند از محیط خود بیرون کنید.

تا حد امکان از قطعه بندی شبکه استفاده کنید

این موضوع همیشه در برابر باج افزار کار کرده و هنوز هم جواب می دهد. اگر یک سیستم قطعه بندی شبکه مقاوم دارید، باید بتوانید از آلوده کردن باج‌افزارها به مهم‌ترین دارایی‌های تجاری‌تان جلوگیری کنید و حتی از تهدیدهای اخاذی یا نشت داده‌ها جلوگیری کنید.

طرح پاسخ آماده داشته باشید

سازمان­ها باید برای مقابله با حملات باج افزار آمادگی کامل داشته باشد. یعنی باید یک طرح واکنش به حادثه ساخته شود و حتی در مواردی ممکن است بخواهید از یک شریک بررسی قضایی در سازمان استفاده کنید که در صورت خطر می تواند به سازمان کمک کنند.

ظهور RaaS بسیار نگران کننده است، اما اصول، روش ها، ابزارها و سیستم های امنیتی هنوز هم قابلیت های دفاعی، شناسایی و پاسخ قوی را ارائه می دهند. این اولویت های مهم را نادیده نگیرید و شرکای اهرمی را در نظر بگیرید که می توانند در قسمت تشخیص و پاسخ کمک کنند.

در این لینک درباره decryptor که به بیش از 1400 شرکت در 83 کشور کمک کرد تا فایل های خود را بازیابی کنند و بیش از 550 میلیون دلار باج پرداخت نشده را ذخیره کنند، بیشتر بیاموزید.

EDR در مقابل آنتی ویروس، تفاوتشان در چیست ؟

(Endpoint Detection and Response)  EDR  یک جایگزین مدرن برای مجموعه های امنیتی آنتی ویروس است. برای چند دهه، سازمان‌ها و کسب‌وکارها به امید حل چالش‌های امنیت سازمانی، روی مجموعه‌های آنتی‌ویروس سرمایه‌گذاری کرده‌اند. اما همانطور که پیچیدگی و شیوع تهدیدات بدافزار در ده سال گذشته افزایش یافته است. کاستی های آنتی ویروسی که اکنون از آن به عنوان “میراث” یاد می شود بسیار معلوم شده است.

در پاسخ، برخی از فروشندگان دوباره به چالش های امنیت سازمانی فکر کردند و راه حل های جدیدی برای شکست آنتی ویروس ارائه کردند. EDR چه تفاوتی با آنتی ویروس دارد؟ چگونه و چرا EDR موثرتر از AV  (Antivirus) است؟ و پیچیدگی های جایگزینی AV با یک EDR پیشرفته در چیست؟ پاسخ تمام این سوالات و موارد دیگر را در این پست خواهید یافت.

 

چه چیزی EDR را با آنتی ویروس متفاوت می کند؟

برای اینکه به اندازه کافی از کسب و کار یا سازمان خود در برابر تهدیدات محافظت کنید، مهم است که تفاوت بین EDR و آنتی ویروس سنتی یا قدیمی را درک شود. این دو رویکرد امنیتی، اساساً متفاوت هستند و تنها یکی برای مقابله با تهدیدات مدرن مناسب است.

 

ویژگی های آنتی ویروس:

در روزهایی که تعداد تهدیدات بدافزار جدید در روز را می‌توان به راحتی در یک سند Excel شمارش کرد، آنتی‌ویروس ابزاری برای مسدود کردن بدافزارهای شناخته‌شده با بررسی – یا اسکن – فایل‌هایی که روی دیسک روی یک دستگاه کامپیوتری نوشته شده بودند را به شرکت‌ها ارائه داد. اگر فایل موردنظر در پایگاه داده فایل های مخرب اسکنر AV «شناخته شده» بود، نرم افزار از اجرای فایل بدافزار جلوگیری می کرد.

پایگاه داده آنتی ویروس سنتی از مجموعه ای از امضاها تشکیل شده است. این امضاها ممکن است حاوی هش‌های یک فایل بدافزار و/یا قوانینی باشند که حاوی مجموعه‌ای از ویژگی‌هایی هستند که فایل میبایست با آنها مطابقت داشته باشد. چنین ویژگی‌هایی معمولاً شامل مواردی مانند: رشته‌های قابل خواندن توسط انسان یا دنباله‌هایی از بایت‌های موجود در فایل اجرایی بدافزار، نوع فایل، اندازه فایل و انواع دیگر فراداده‌های مربوط به فایل است.

برخی از موتورهای آنتی ویروس همچنین می توانند تجزیه و تحلیل اکتشافی اولیه را روی فرآیندهای در حال اجرا (Running processes) انجام دهند و یکپارچگی فایل های مهم سیستم را بررسی کنند. این بررسی‌های «بعد از واقعیت» یا پس از آلودگی پس از سیل نمونه‌های بدافزار جدید به طور روزانه به بسیاری از محصولات AV اضافه شد. که به دلیل حجم بالا،اینکار از توانایی فروشندگان AV برای به‌روز نگه‌داشتن پایگاه‌های داده‌شان خارج شد.

با توجه به تهدیدات رو به رشد و کاهش کارایی رویکرد آنتی ویروس، برخی از فروشندگان قدیمی سعی کرده اند آنتی ویروس را با سرویس های دیگری مانند کنترل فایروال (firewall control)، رمزگذاری داده ها (dataencryption)، مجوز فرآیند (process allows) و لیست های مسدود (Blocklists) ، و سایر ابزارهای مجموعه AV تکمیل کنند. چنین راه حل هایی که به طور کلی به عنوان “EPP” (Endpoint Protection Platforms) یا پلتفرم های محافظت نقطه پایانی شناخته می شوند، مبتنی بر رویکرد امضاء هستند.

 

ویژگی های EDR:

در حالی که تمرکز همه راه‌حل‌های AV بر روی فایل‌های (بالقوه مخرب) است که به سیستم معرفی می‌شوند، یک EDR به صورت بلادرنگ بر جمع‌آوری داده‌ها از نقطه پایانی و بررسی آن داده‌ها برای الگوهای غیرعادی عمل می‌کند. همانطور که از نام EDR پیداست، ایده این سیستم تشخیص عفونت و شروع پاسخ است. هرچه EDR سریعتر بتواند این کار را بدون دخالت انسان انجام دهد، موثرتر خواهد بود.

یک EDR خوب همچنین شامل قابلیت هایی برای مسدود کردن فایل های مخرب است، اما مهمتر از همه EDR ها تشخیص می دهند که همه حملات مدرن مبتنی بر فایل نیستند. علاوه بر این، EDR‌های فعال ویژگی‌های مهمی را که در آنتی‌ویروس یافت نمی‌شوند به تیم‌های امنیتی ارائه می‌دهند. از جمله پاسخ خودکار و دید عمیق در مورد تغییرات فایل، ایجاد فرآیند و اتصالات شبکه در نقطه پایانی: برای شکار تهدیدات (threat hunting)، پاسخ به حادثه (incident response)، و جرم شناسی دیجیتال (digital forensics) حیاتی است.

دلایل زیادی وجود دارد که چرا راه‌حل‌های آنتی ویروس نمی‌توانند با تهدیداتی که امروزه شرکت‌ها با آن مواجه هستند، هماهنگی داشته باشند. اول، همانطور که در بالا اشاره شد، تعداد نمونه‌های بدافزار جدیدی که روزانه مشاهده می‌شوند، بیشتر از تعداد افرادی است که روی فایل های مخرب اثر انگشت میگذارند (توضیح مترجم: یک سری افراد در تیم های امنیتی روی فایل های مخرب یک امضا قرار میدهند که امکان شناسایی، حذف و قرنطینه را به آنتی ویروس میدهد. به این ترتیب کسانی که این اثر انگشت هارا روی ویروس ها میگذارند team of signature writers میگویند . این لینک توضیحات مناسبی دارد).

دوم، شناسایی از طریق امضاهای آنتی ویروس اغلب می‌تواند به راحتی توسط عوامل تهدید حتی بدون بازنویسی بدافزار آنها دور زده (Bypass) شود. از آنجایی که امضاها فقط بر روی چند مشخصه از فایل تمرکز دارند، نویسندگان بدافزار یاد گرفته‌اند که چگونه بدافزاری ایجاد کنند که ویژگی‌های متغیری داشته باشد که به عنوان بدافزار چند شکلی (polymorphic malware)نیز شناخته می‌شود. برای مثال، هش‌های فایل یکی از ساده‌ترین ویژگی‌های یک فایل برای تغییر هستند، اما رشته‌های داخلی (internal strings) نیز می‌توانند به‌طور تصادفی، با تولید هر نسخه از بدافزار رمزگذاری شوند.

سوم، عوامل تهدید با انگیزه مالی مانند سازندگان باج افزار، فراتر از حملات بدافزار مبتنی بر فایل عمل کرده اند. حملات درون حافظه یا بدون فایل رایج شده‌اند، و حملات باج‌افزاری که توسط انسان انجام می‌شود، مانند Hive – همراه با حملات «اخاذی مضاعف» مانند Maze، Ryuk  و موارد دیگر – که ممکن است با اعتبار اجباری به خطر افتاده یا بی‌رحمانه یا سوءاستفاده از RCE (اجرای کد از راه دور) (Remote code execution)شروع شود. آسیب‌پذیری‌ها، می‌توانند منجر به به خطر افتادن و از دست دادن مالکیت شود. و دیگر با استفاده از آنتی ویروس و شناسایی امضای دیجیتال نمیشود کاری کرد.

 

مزایای EDR:

EDR  با تمرکز بر روی ارائه دید همراه با پاسخ‌های تشخیص خودکار به تیم‌های امنیتی سازمانی، برای مقابله با عوامل تهدید امروزی و چالش‌های امنیتی که آنها ارائه می‌کنند بسیار مجهزتر است.

EDR با تمرکز بر شناسایی فعالیت غیرمعمول و ارائه پاسخ، تنها به شناسایی تهدیدهای شناخته شده و مبتنی بر فایل محدود نمی شود. برعکس، ارزش اصلی EDR این است که مثل آنتی ویروس نیست و تهدید نیازی به تعریف دقیق ندارد،. یک راه حل EDR می تواند الگوهای فعالیت غیرمنتظره، غیرمعمول و ناخواسته را جستجو کند و هشداری را برای تحلیلگر امنیتی صادر کند تا آن را بررسی کند.

علاوه بر این، از آنجایی که EDR ها با جمع آوری طیف وسیعی از داده ها از تمام نقاط پایانی محافظت شده کار می کنند، به تیم های امنیتی این فرصت را می دهند تا آن داده ها را در یک رابط راحت و متمرکز گرد هم آورند. تیم‌های فناوری اطلاعات می‌توانند آن داده‌ها را گرفته و آن‌ها را با ابزارهای دیگر برای تجزیه و تحلیل عمیق‌تر ادغام کنند و به اطلاع‌رسانی وضعیت امنیتی کلی سازمان در هنگام حرکت برای تعریف ماهیت حملات احتمالی آینده کمک کنند. داده های جامع از یک EDR همچنین می تواند شکار و تجزیه و تحلیل تهدیدات گذشته نگر را امکان پذیر کند.

علاوه بر این، از آنجایی که EDR ها با جمع آوری طیف وسیعی از داده ها از تمام نقاط پایانی محافظت شده کار می کنند، به تیم های امنیتی این فرصت را می دهند تا آن داده ها را در یک رابط راحت و متمرکز تجسم کنند. تیم‌های فناوری اطلاعات می‌توانند آن داده‌ها را گرفته و آن‌ها را با ابزارهای دیگر برای تجزیه و تحلیل عمیق‌تر ادغام کنند و به اطلاع‌رسانی وضعیت امنیتی کلی سازمان در هنگام حرکت برای تعریف ماهیت حملات احتمالی آینده کمک کنند. همچنین می تواند شکار و تحلیل تهدیدات گذشته نگر را فعال کند.

 

چگونه EDR آنتی ویروس را تعریف میکند:

موتورهای آنتی ویروس علیرغم محدودیت‌هایشان وقتی به تنهایی یا به‌عنوان بخشی از راه‌حل EPP مستقر می‌شوند، می‌توانند تمجیدهای مفیدی برای راه‌حل‌های EDR باشند، و بیشتر EDR‌ها شامل برخی از عناصر مسدودسازی مبتنی بر امضا و هش به عنوان بخشی از استراتژی «دفاع در عمق» هستند.

با ترکیب موتورهای آنتی ویروس در یک راه حل موثرتر EDR، تیم های امنیتی سازمانی می توانند از مزایای مسدود کردن ساده بدافزارهای شناخته شده بهره ببرند و آن را با ویژگی های پیشرفته ای که EDR ها ارائه می دهند ترکیب کنند.

اجتناب از خستگی هشدار با Active EDR:

همانطور که قبلاً اشاره کردیم، EDR ها امنیت سازمانی و تیم های فناوری اطلاعات را در تمام نقاط پایانی در سراسر شبکه سازمان دید عمیقی ارائه می دهند و  تعدادی از مزیت ها را امکان پذیر می کند. با این حال، علی‌رغم این مزایا، بسیاری از راه‌حل‌های EDR تأثیری را که تیم‌های امنیتی سازمانی امیدوار بودند، نداشته باشند، زیرا به منابع انسانی زیادی برای مدیریت نیاز دارند: منابعی که اغلب به دلیل محدودیت‌های کارکنان یا بودجه در دسترس نیستند یا به دلیل کمبود مهارت‌های امنیت سایبری، غیرقابل دسترسی هستند.

بسیاری از سازمان‌هایی که در EDR سرمایه‌گذاری کرده‌اند، به‌جای لذت بردن از امنیت بیشتر و کار کمتر برای تیم‌های امنیتی و IT خود، به سادگی منابع را از یک وظیفه امنیتی به دیگری تخصیص داده‌اند: به دور از تریاژ دستگاه‌های آلوده تا تریاژ کوهی از هشدارهای EDR.

و با این حال لازم نیست اینطور باشد. شاید ارزشمندترین پتانسیل EDR توانایی آن در کاهش مستقل تهدیدات بدون نیاز به دخالت انسان باشد. با استفاده از قدرت یادگیری ماشین و هوش مصنوعی، Active EDR بار را از دوش تیم SOC برمی‌دارد و می‌تواند به طور مستقل رویدادها را در نقطه پایانی بدون تکیه بر منابع ابری کاهش دهد.

 

EDR فعال برای تیم شما چه معنایی دارد:

این سناریوی معمولی را در نظر بگیرید: کاربر یک برگه را در Google Chrome باز می کند، فایلی را که معتقد است امن است دانلود می کند و آن را اجرا می کند. این برنامه از PowerShell برای حذف پشتیبان‌گیری‌های محلی استفاده می‌کند و سپس شروع به رمزگذاری تمام داده‌های روی دیسک می‌کند.

کار یک تحلیلگر امنیتی با استفاده از راه حل های EDR  غیرفعال می تواند سخت باشد. با وجود هشدارها، تحلیلگر باید داده ها را در یک گزارش معنادار جمع کند. با EDRفعال ، این کار در عوض توسط عامل در نقطه پایانی انجام می شود.  EDR فعال گزارش کامل را می داند، بنابراین در زمان اجرا، قبل از شروع رمزگذاری، این تهدید را کاهش می دهد.

هنگامی که داستان کمرنگ میشود، تمام عناصر موجود در آن داستان، تا برگه کروم که کاربر در مرورگر باز کرده است،  مورد مراقبت قرار داده می‌شود. با دادن شناسه TrueContext به هر یک از عناصر داستان کار می کند. این داستان‌ها سپس به کنسول مدیریت ارسال می‌شوند و امکان مشاهده و جستجوی آسان تهدید را برای تحلیلگران امنیتی و مدیران فناوری اطلاعات فراهم می‌کنند.

 

فراتر از EDR | XDR برای حداکثر دید و یکپارچگی:

در حالی که Active EDR گام بعدی برای سازمان‌هایی است که هنوز آنتی ویروس را پشت سر نمی‌گذارند، شرکت‌هایی که به حداکثر دید و یکپارچگی در کل دارایی خود نیاز دارند، باید به تشخیص و پاسخ گسترده یا XDR فکر کنند.

XDR ، EDR را با ادغام تمامی کنترل‌های دید و امنیت در یک نمای کاملاً جامع از آنچه در محیط شما اتفاق می‌افتد به سطح بعدی می‌برد. XDR با یک مجموعه واحد از داده‌های خام شامل اطلاعات از کل اکوسیستم، امکان شناسایی و پاسخ سریع‌تر، عمیق‌تر و مؤثرتر تهدید را نسبت به EDR می‌دهد و داده‌ها را از طیف وسیع‌تری از منابع جمع‌آوری و جمع‌آوری می‌کند.

 

نتیجه گیری:

عوامل تهدید مدت‌هاست که فراتر از آنتی‌ویروس و EPP فراتر رفته اندو سازمان‌ها باید در نظر داشته باشند که چنین محصولاتی با تهدیداتی که امروزه فعال هستند همخوانی ندارند. حتی نگاهی گذرا به سرفصل‌ها نشان می‌دهد که سازمان‌های بزرگ و ناآماده با وجود اینکه روی کنترل‌های امنیتی سرمایه‌گذاری کرده‌اند، توسط حملات مدرن مانند باج‌افزار گرفتار شده‌اند. وظیفه ما، به عنوان مدافع، این است که اطمینان حاصل کنیم که نرم افزار امنیتی ما نه تنها برای حملات دیروز، بلکه برای امروز و فردا مناسب است.

 

امنیت جلسات آنلاین

ده مورد ضروری در حوزه امنيت سايبری و حفظ حريم خصوصی برای جلسات ويدئويی

واقع سوالات مختلفي در مورد اين زيرساخت‌ها و توانايي آنها براي محافظت از كاربران شكل گرفته است؛ در واقع محافظت از كاربران بايد به صورت هم‌زمان با حفظ اطلاعات حساس و ايمن نگاه‌داشتن اطلاعات، رخ بدهد. به عنوان مثال پس از شيوع ويروس كوويد، استفاده از زيرساخت زوم (zoom)رشد چشم‌گيري داشت. با اين حال چندين نقص امنيتي و افشاي اطلاعات، از جملة عوارض اين افزايش چشم‌گير بود.

مشخص است كه همايش‌هاي ويدئويي داراي نقاط ضعفي خواهند بود كه باعث مي‌شود پروتكل‌هاي امنيت سايبري، اهميت بيشتري پيدا كنند. ديگر زيرساخت‌هاي محبوب هم‌چون مايكروسافت تيمز(Microsoft Teams)و گوتو ميتينگ (GoToMeeting) نيز داراي مسائل امنيتي و حريم‌شخصي مخصوص به خود هستند كه به برخي از آنها اشاره كرديم. با توجه به اينكه به نظر مي‌رسد تركيب حضور در اداره و دوركاري براي مدت زمان زيادي باقي خواهد ماند؛ بنابراين كسب‌وكارها و بخش دولتي تاكيد بيشتري بر روي امنيت و حريم شخصي ابزارهاي همكاري مجازي دارند. اگر زيرساخت‌هايي كه به صورت وسيع از آنها استفاده مي‌شود، نتوانند كه نگراني‌هاي امنيتي را پوشش دهند؛ در اين صورت آنها تبديل به اهدافي ساده براي هكرها خواهند شد كه داراي نيتي منفي هستند و تلاش مي‌كنند كه اطلاعات شخصي افراد را فاش كنند.

ويژگي‌هاي امنيتي كه بايد تمامي زيرساخت‌هاي همايش ويدئويي از آنها بهره‌مند باشند

هنگامي كه يك زيرساخت برگزاري همايش ويدئويي را براي سازمان انتخاب مي‌كنيد؛ بايد امنيت سايبري به عنوان اولويت اول شما محسوب شود. البته امروزه تقريبا تمامي زيرساخت‌ها داراي سطح مشخصي از امنيت هستند؛ بنابراين شما بايد زيرساختي با تركيب درست از ويژگي‌هاي مورد نظر خود انتخاب كنيد كه داراي بيش‌ترين سطح امنيت باشد. در ادامه مي‌خواهيم به برخي از توصيه‌هاي ضروري در مورد ويژگي‌هاي امنيت سايبري اشاره كنيم كه به امنيت سازمان‌ها و ارتباطات آنها، كمك خواهد كرد:

  • ويديو و صوت كدگذاري شده: با اينكه به نظر مي‌رسد كه اين ويژگي بسيار بديهي است، اما زوم اخيرا اقدام به عملي كردن اين نكته كرده است. اگر اين ويژگي كليدي وجود نداشته باشد، در اين صورت هر شخصي مي‌تواند به مكالمات شما گوش كند و ويدئوي ارسال شده توسط دوربين كاربر را مشاهده كند. اگر صوت و تصوير به صورت كامل كدگذاري شده باشند، احتمال اينكه مهاجمان سايبري بتوانند از اين خط دفاعي بگذرد، بسيار كم خواهد بود؛ به علاوه آنها نمي‌توانند اطلاعات با‌ارزشي را به سرقت ببرند، زيرا تمامي اطلاعات صوتي و تصويري كدگذاري شده است.
  • احراز هويت در جلسات: شما در زيرساخت‌هاي مختلف، مي‌توانيد به افراد اجازه دهيد كه رمزعبوري را براي خود انتخاب كنند؛ اما معمولا بسياري از زيرساخت‌ها در حوزة احراز هويت داراي ضعف هستند. احراز هويت مناسب، به عنوان اولين خط از سيستم دفاعي محسوب مي‌شود و بايد كاملا جدي گرفته شود. اگر مرحلة احراز هويت انجام نشود، در اين صورت شناسايي كردن دقيق افراد حاضر در جلسه، امري غيرممكن خواهد بود. از جملة ديگر ويژگي‌هاي همايش‌هاي ويدئويي، موارد زير خواهد بود:
  • رمز يك‌بار مصرف (او‌تي‌پي) (One-time passcodes (OTP)): براي كاربران يك كد مخصوص ارسال مي‌شود كه با استفاده از آن به جلسه دسترسي پيدا خواهند كرد؛ اما تنها مي‌توان يك بار از اين كد استفاده كرد.
  • احراز هويت دو عاملي و چندعاملي (Two-factor (2FA) and multi-factor authentication (MFA)): كاربران براي دسترسي به اين ويژگي، بايد دو يا چند عامل شناسايي وارد كنند تا بتوانند به جلسه دسترسي داشته باشند. معمولا از احراز هويت دو عاملي يا چندعاملي به همراه رمز يك‌بار مصرف استفاده مي‌شود تا يك لاية احراز هويت مازاد، اضافه شود.
  • احرازهويت ثانويه (او‌اوبي‌اي) (Out-of-band authentication (OOBA)): اين نوع از شناسايي دو عاملي نياز به روش تاييدي ثانويه دارد كه از طريق كانال ارتباطي مجزا، ممكن خواهد شد. به عنوان مثال يك كانال مي‌تواند ارتباط اينترنتي شخص بر روي رايانة شخصي‌اش باشد؛ در حالي كه كانال ديگر مي‌تواند ارتباط شبكة بي‌سيم بر روي تلفن همراه او باشد. احراز هويت ثانويه به عنوان ايمن‌ترين روش احرازهويت شناخته مي‌شود.
  • زيست‌سنجي (Biometrics): اين ويژگي شامل خصوصيات فيزيولوژيكي يا خصوصيات رفتاري است كه از آنها براي تشخيص هويت فردي خاص استفاده مي‌شود؛ به عنوان مثال مي‌توان به اثرانگشت، تشخيص چهره يا اسكن شبكية چشم اشاره كرد.
  • حفاظت از كاربران: اين ويژگي از كاربران در مقابل نوع جديدي نرم‌افزار جاسوسي محافظت مي‌كند كه هدف آن سرقت بخش صوتي و تصويري جلسات است.
  • حفاظت در مقابل نرم‌افزارهاي ثبت‌كنندة رمزهاي عبور: اين ويژگي مانع برنامه‌هاي كليدخوان ناشناخته مي‌شود و به آنها اجازه نمي‌دهد كه رمز‌هاي عبور وارد شده بر روي رايانه يا دستگاه تلفن همراه را ثبت كنند.
  • حفاظت از بدافزارهاي ثبت‌كنندة تصاوير: اين ويژگي منجر به حذف ريسك مربوط به گرفتن تصاوير غيرمجاز از صفحه خواهد شد.
  • محافظت از حافظة موقت: اين ويژگي از حافظة موقت در برابر سرقت اطلاعات توسط بدافزارها، جلوگيري مي‌كند.

بیت‌دیفندر، مشارکت مجریان قانون و جلوگیری نیم میلیارد باج‌خواهی از قربانیان REvil

بیت‌دیفندر، مشارکت مجریان قانون و جلوگیری نیم میلیارد باج‌خواهی از قربانیان REvil

بیش از سه سال پیش در فوریه 2018 تیم Bitdefender DRACO اولین رمزگشای خود را برای خانواده باج‌افزاری موسوم به GandCrab منتشر کرد. این رمزگشا تنها یک ماه پس از پیدایش اولین نمونه‌های این سرویس باج‌افزاری (RaaS) بسیار قدرتمند انتشار یافت که بیانگر آغاز همکاری پیچیده‌ای با مجریان قانون در سراسر جهان و ایجاد تعهدی قوی جهت جلوگیری از اقدامات باج‌افزارها بود.

اکنون مقامات رومانی دو مورد از باج‌افزارهای وابسته به خانواده Sodinokibi/REvil را که موجب آلودگی 5000 سیستم شده‌اند متوقف نموده‌اند. از فوریه 2021 تا کنون افسران مجری قانون سه باج‌افزار مرتبط دیگر با Sodinokibi/Revil را متوقف کرده که در نهایت پنج Sodinokibi متوقف شده است. همچنین دو مورد آنها مشکوک به ارتباط با GandCrab هستند. در میان نتایج Operation GoldDust تلاش‌های هماهنگ صورت‌گرفته مربوط به 19 سازمان اعمال قانون می‌شود (مناطق بومی استرالیا، بلژیک، کانادا، فرانسه، آلمان، هلند، لوکزامبورگ، نروژ، لهستان، رومانی، کره جنوبی، سوئد، سوئیس، کویت، بریتانیا و ایالات متحده به علاوه پلیس اروپا، پلیس بین‌الملل و آژانس همکاری قضایی اتحادیه اروپا).

شناخت REVil در 30 ثانیه

به طور خلاصه REvil یک عملیات سرویس خصوصی باج‌افزاری است که ابتدا در سال 2019 پدید آمد. با پیوند محکمی که با سرویس باج‌افزاری GandCrab (که اکنون از بین رفته است) داشت، از المان‌های خود برای آلوده نمودن سیستم شرکت‌ها و اخاذی استفاده کرد. REvil از سال 2019 تا کنون برای خود شهرتی دست و پا کرده و بیشترین میزان گوناگونی را در میان باج‌افزارها در سه ماهه دوم سال 2021 داشته است.

REvil هزاران کسب و کار را در سراسر جهان هدف قرار داده و مبالغی بسیار بیشتر از میانگین بازار از قربانیان خود اخاذی کرده است. شرکت‌هایی که به آن باج نداده و اقدام به بازیابی نسخه‌های پشتیبان کردند از طریق تهدید به انتشار اطلاعات محرمانه‌شان مورد باج‌خواهی قرار گرفتند.

با همکاری مجریان قانونی مورد اعتماد، بیت‌دیفندر یک رمزگشای سراسری رایگان را جهت مقابله با حملات REvil در تاریخ 13 جولای 2021 منتشر کرد. از نیمه سپتامبر امسال رمزگشای Sodinokibi / REvil به بیش از 1400 شرکت در 83 کشور جهت بازیابی فایل‌هایشان کمک کرده که این امر موجب جلوگیری از پرداخت بیش از 550 میلیون دلار باج شده است. توجه کنید که میانگین باج‌خواهی به مبلغ 393000 دلار بسیار بیشتر از میانگین باج‌خواهی GandCrab است که مبلغی بین 800 تا 2400 دلار است.

تیم Bitdefender DRACO امکان مشاوره و راهنمایی در رابطه با امنیت سایبری را به ویژه در زمینه رمزنگاری، پیگیری جرایم رایانه‌ای و بررسی‌های مربوطه فراهم آورده است که به ائتلاف مجریان قانون جهت کاهش تاثیر حملات موفق باج‌افزارها کمک کرده و در نهایت منجر به توقف آنها شده است. این همکاری با مجریان قانون نمونه اولیه همکاری بخش‌های خصوصی و عمومی جهت ایجاد اختلالی فاحش در انجام جرائم سایبری است.

قربانیان حاضر می‌توانند رمزگشای REvil را دانلود کرده و داده‌های خود را بازگردانی نمایند. اگر شما قربانی یک حمله باج‌افزاری شده‌اید پیشنهاد ما این است که به آنها باج نداده و سازمان محلی اجرای قانون در نزدیکی خود را مطلع نمایید.

بهترین اقدامات در برابر باج‌افزارها

  • حملات باج‌افزاری معمولا از طریق فیشینگ ایمیل و مهندسی اجتماعی شروع می‌شود. آموزش و تعلیم مداوم کارکنان درباره خطرات کلیک کردن بر روی لینک‌ها و بازنمودن فایل‌های ضمیمه از منابع ناشناس ضروری است.
  • مطمئن شوید که پلتفرم‌های امنیتی مانند شناساگرهای حمله به دستگاه‌ و پاسخ‌دهنده‌ (EDR) و شناساگرهای توسعه‌یافته و پاسخ‌دهنده (XDR)، با شاخص‌‌های سازش (IOC) به‌روزرسانی شده‌اند. این پایگاه‌ها REvil و سایر اعضای خانواده باج‌افزارهای عمومی را جستجو می‌کنند.
  • مدل شناساگر مدیریت‌شده و پاسخ‌دهنده (MDR) را جهت تکمیل قابلیت‌های امنیتی درون‌سازمانی تیم خود در نظر بگیرید تا بتوانید تهدیدهای فعال را شناسایی کنید.
  • لایه حمله را کمینه‌سازی کرده و مطمئن شوید که سرویس‌های بلااستفاده یا سایر سرویس‌هایی که به آنها نیاز ندارید (مانند RDP) به اینترنت متصل نیستند.

اگر شما به مهارت‌های تکنیکی در زمینه باج‌افزارها نیاز دارید، لطفا با ما از طریق آدرس support@abel.ir تماس بگیرید.

داستان شکل گیری بیت دیفندر

نوامبر سال 2021، ماهی خاص برای بیت دیفندر است. چرا که بیت دیفندر بیستمین سالگرد خود را جشن میگیرد. این یک سفر هیجان انگیز است که از سال 2001 آغاز شده است. راهی طولانی که بیت دیفندر را به قابل اعتمادترین رهبر در حوزه امنیت سایبری تبدیل کرده است که در همین راستا محافظت از داده های میلیون ها کاربر و هزاران شرکت در بیش از 170 کشور را عهده دار است.

بسیاری از اوقات، چنین رویدادهایی ذهن های ما را به سمتی می برد تا مجدد این راه آمده را بررسی کنیم و خاطرات این دوره را مرور کنیم.

داستان شکل گیری

داستان ما حدود 30 سال پیش آغاز شده است. تقریبا با سقوط بلوک شوروی در سال 1990، زمانی که من (Floerin Talpes – مدیر شرکت بیت دیفندر) و همسرم، یکی از شرکت های خصوصی توسعه نرم افزار را بنیان نهادیم. یک حادثه ناگوار مربوط به یک ویروس کامپیوتری، یک فلاپی دیسک و یک مشتری بینهایت ناراضی، به یک لحظه تعیین کننده در زندگی من تبدیل شد. بعد از اینکه ویروس به صورت ناشناس به مشتری منتقل شده بود، ما به همراه تیم مهندسی، راهکاری بهتر نسبت به قبل را برای جلوگیری از اتفاق مجدد توسعه دادیم. “جرقه ای” در ذهن ما ایجاد شد که راهکار ما می تواند از راهکارهای فعلی در بازار بهتر عمل کرده و طیف بیشتری از کسب و کارها را در مقابل چنین آلودگی هایی محافظت کند. اینجا بود که ایده بیت دیفندر – Bitdefender – متولد شد.

از این شروع بسیار ساده از دفتر بخارست تا 1800 کارمند در در سراسر دنیا، شامل تیم های تحقیق و توسعه، مهندسین، ریاضی دانان، ماموریت اصلی بیت دیفندر همیشه متمرکز بر یک چیز بوده است، مبارزه با جرائم سایبری!

تعهد ما به این مبارزه، طی چندین دهه، دستاوردهای مهمی راه بهمراه داشته است. از اختراعات ثبت شده برای نوآوری های حوزه فناوری در تشخیص تهدیدات، یادگیری ماشین، هوش مصنوعی گرفته تا اکتشافات مهم بدافزارهای جدید و … همگی از جمله دستاوردهای این دوران هستند. این موارد به طور قابل توجهی کل جامعه امنیت سایبری، نه فقط مشتریان ما را تقویت کرد. یکی از زمینه هایی که ما بسیار به آن افتخار می کنیم، برنامه های رمزگشای توسعه داده شده توسط ماست که عملیات انجام شده توسط باج افزارها که از نظر اقتصادی هم به نوعی ویران گر هستند را، خنثی می کند. تا به امروز، ما 20 رمزگشای رایگان، را برای عموم منتشر کرده ایم که میلیون ها دلار در فایلهای بازیابی شده و هزینه های باج برای سازمان ها و مصرف کنندگان (کاربران خانگی)، صرفه جویی به همراه داشته است.

ما به عنوان پیشرو در زمینه پیشگیری از تهدید، راهکارهای شناسایی و پاسخ دهی (EDR) که توسط شرکت های مستقل و پیشرویی مانند، Gartner، IDC، Forrester شناخته شده هستیم. همچنین در طول این سالیان افتخارات و جایزه های متعددی را از AV-Comparatives، AV-Test، MITRE و دیگر آزمایشگاههای مستقل برای توانایی های بی نظیر خود در شناسایی تهدیدات در هر محیطی، از جمله موبایل، ابری و … دریافت کرده ایم.

افتخار به همکاران مان

بدون همکاری تیمی، از خودگذشتگی و فداکاری، بیت دیفندر و دستاوردهای آن ممکن نبود. به زبان ساده تر، موفقیت بیت دیفندر بدون حضور کارمندان، همکاران، فروشندگان و توزیع کنندگان، به خصوص در شرایط همه گیری کرونا که کار را از همیشه سخت تر کرده بود، امکان پذیر نبود.

نگاه به آینده

پیش بینی دقیق تکامل دنیای دیجیتال در 20 سال آینده کمی دشوار است. با این حال آنجه مسلم است، این است که امنیت سایبری، همیشه برای کاربرانی که می خواهند از عکسها، هویت و حریم خصوصی خود محافظت کنند، سازمان هایی که نگران سرقت مالکیت معنوی خود وحملات باج افزاری هستند، و دولت هایی که نگران امنیت شهروندان هستند، مهم باقی خواهند ماند. هر چالش جدیدی که پیش روی ما باشد، مطمئن باشید که با آنها روبرو خواهیم شد.

پدافند غیرعامل در دفاع سایبری

پدافند غیرعامل در دفاع سایبری
همانگونه که حفاظت و حراست از تمامیت ارضی هر کشور از اهمیت بالایی برخوردار بوده و تقویت توان بازدارندگی نظامی مسلحانه در مقابل هرگونه
تجاوز و تعرض به مرزهای قانونی از وظایف اصلی هر حکومتی میباشد، توجه به سایر ابعاد تهدیدات و همچنین آمادگی مقابله و خنثی سازی آن نیز از اهمیت بالایی برخوردار است.

نکته قابل تامل در برهه کنونی این است که تمامی تهدیداتی که متوجه کشور، مردم و زیر ساختهای حیاتی آن است تنها مخاطرات نظامی نبوده و این تهدیدات به مولفه های غیر مسلحانه نیز تعمیم پیدا کرده است و دشمن برای نفوذ و پیاده سازی اهداف خود از تمام توان نظامی و غیر نظامی خود بهره میبرد.

با توجه به اهمیت فناوری اطلاعات در عصر حاضر و رشد سریع و در عین حال نامتوازن ساختار IT ، این بستر به یکی از نقاط بالقوه آسیب پذیر و خطرناک در جهان بدل شده است؛

دفاع غیرعامل در واقع مجموعه تمهیدات، اقدامات و طرح‌هایی است که با استفاده از ابزار، شرایط و حتی‌المقدور بدون نیاز به نیروی انسانی به صورت خود اتکا صورت‌گیرد چنین اقداماتی از یک سو توان دفاعی مجموعه را در زمان بحران افزایش داده و از سوی دیگر پیامدهای بحران را کاهش و امکان بازسازی مناطق آسیب‌دیده را با کمترین هزینه فراهم می‌سازد.

پدافند غیرعامل سایبری شامل کلیه اقدامات كه موجب كاهش آسیب پذیری ایمنی و پایداری شبکه و تجهیزات وابسته به شبکه ، نیروی انسانی، اسناد و شریان های كشور در مقابل عملیات مخرب دشمن گردد، میشود. پدافند غیرعامل انجام می شود تا در صورت بروز جنگ، خسارات احتمالی به حداقل میزان خود برسد

پدافند غیر عامل در زمینه حملات سایبری را به دو حوزه نیروی انسانی و سیستم­ها می­توان تقسیم نمود.

در حوزه نیروی انسانی و کاربران فضای سایبری نیاز به آموزشهای مستمر و ارتقا دانش کابردی کاربران است. حوزه سیستم ها خود شامل، داده ها و اطلاعات، روشها و رویه های اجرایی، سخت افزارها و به ویژه نرم افزاهای رایانه ای می باشد.

امروزه پدافند غیر عامل به دو مقوله دفاع و بازگشت به روال کار د رصورت خرابی تاکید ویژه ای دارد.

در مقوله دفاع سایبری نیاز به آموزش، امن سازی سیستم ها، کاربرد دفاع در عمق از طریق استفاده از آنتی ویروس ها، فایروالها، سیستمهای کنترل دسترسی (PAM)، سیستم های جلوگیری از نشت اطلاعات (DLP) و استفاده از مدیریت خدمات IT می باشد.

همچنین شناسایی نقاط حمله با استفاده از امکانات پیشرفته EDR، استفاده از روش های به روز و مطئن پشتیبان گیری میتواند به سازمان ها در بازگشت سریع به کار پس از حملات سایبری کمک شایانی نماید.

منبع

کسب و کارهای کوچک و متوسط باید در مقابل «حملات باج افزاری» آماده باشند

در حال حاضر «حملات باج‌افزاری» تهدیدی علیه امنیت سایبری با سریع‌ترین میزان انتشار است که بر کسب و کارهای کوچک و متوسط (SMBها) اثر می‌گذارند.

این حوادث می‌توانند به سازمان‌هایی با هر اندازه و تقریباً درون هر صنعتی صدمه بزنند. گزارش نیم‌سالۀ شرکت بیت‌دیفندر[1] در سال 2020 تحت عنوان «گزارش دورنمای تهدید 2020» به این مسئله اشاره کرد که تمام گزارشات حملات باج افزاری در جهان به میزان 715% نسبت به مدت مشابه سال قبل جهش ناگهانی داشت.

حوادث مرتبط با همه‌گیری بیماری کرونا نیز تاثیر شدیدی داشت و برای سال 2021 میزان مشابهی از این‌گونه تهدیدات انتظار می‌رود. احتمال حملات سایبری موفقی که به‌طور گسترده گزارش شده‌اند مجرمان سایبری را ترغیب کند و آن‌ها به‌دنبال روش‌های پیچیده‌تری برای حمله به سیستم‌های امنیتی شرکت‌ها باشند.

باج‌افزار چیست؟

قبل از این‌که کسب و کارهای کوچک و متوسط بتوانند امید به دفاع از خود داشته باشند، آن‌‎ها باید دقیقا درک کنند که «باج‌افزار» چیست و چگونه کار می‌کند. «باج‌افزار» نوعی بدافزار است که تهدید می‌کند در صورت پرداخت نشدن باج، داده‌های حساس سازمان را منتشر خواهد کرد یا به‌طور مداوم دسترسی به اسناد را مسدود می‌کند.

گونۀ پیشرفته‌تر «باج‌افزار» فایل‌های یک شرکت را رمزنگاری کرده و آن‌ها را با استفاده از یک فرآیند، غیرقابل دسترسی می‌کند، سپس برای رمزگشایی آن درخواست پول می‌کند. قربانیان این حملات اغلب مجبور به استفاده از کلیدهای رمزگشایی برای بازیابی اسناد خود می‌شوند.

هکرها معمولاً از طریق ارزهای دیجیتالی مانند «بیت‌کوین» و هم‌چنین رمز ارزهای دیگر درخواست پرداخت پول می‌کنند. از آن‌جایی که ردیابی این نوع پرداخت‌ها سخت است، کشف و تعقیب قانونی هکرها نیز مشکل و بی‌حاصل است.

حملات باج‌افزاری معمولاً توسط «تروجان‌ها»[2] انجام می‌شود. تروجان‌ها «بدافزاری» هستند که کاربران را از مقصد حقیقی خود گمراه می‌کنند، مانند اسب تروجانی که توسط شعر «انه‌اید»[3] اثر «ویرژیل»[4] مشهور شد. این ویروس‌های بدافزار به‌گونه‌ای در فایل‌های متعارف مخفی شده تا کاربر فریب خورده و آن‌ها را بارگیری کند و یا زمانی که از طریق ضمیمۀ ایمیل دریافت می‌کند‌، آن‌ها را باز کند.

حملۀ باج‌افزاری به‌وضوح رو به افزایش است. گزارشی که در ماه آگوست 2021 از سازمان تحقیقاتی «اینترنشنال دیتا کورپ(IDC)» منتشر شد، نشان داد که بیش از یک سوم سازمان‌ها در سراسر جهان حملات باج‌افزاری یا رخنۀ امنیتی را تجربه کردند که حاصل این حملات قطع دسترسی به سیستم‌ها یا داده‌ها طی 12 ماه گذشته بود. به‌ گفتۀ این گزارش، برای سازمان‌هایی که قربانی «باج‌افزار» شده‌اند، تجربۀ چندین حادثۀ «باج‌افزاری» غیرمتعارف نیست.

گزارش «State of the Channel Report» سال 2020 شرکت «داتو»[5] بیان کرد که نزدیک به 70% از «ارائه‌کنندگان خدمات مدیریت‌شده (MSPs)» باج‌افزار را به‌عنوان شایع‌ترین حملۀ بدافزاری معرفی کردند. با این‌حال از آن‌جایی که بیشتر «ارائه‌کنندگان خدمات مدیریت‌شده» یعنی 84% آن‌ها در خصوص باج‌افزار «بسیار نگران» هستند، تنها 30% از آن‌ها اعلام کردند که مشتریانشان که کسب و کارهای کوچک و متوسط هستند عقیدۀ مشابهی با آن‌ها دارند.

با انتشار منظم گزارشات فراوان از حملات باح‌افزاری در خبرها، کسب و کارهای کوچک و متوسط باید این‌گونه حملات را جدی بگیرند چرا که تاثیرات چنین حملاتی می‌تواند برای کسب و کار آن‌ها فاجعه‌آمیز باشد.

بهترین روش‌ها برای جلوگیری از حملات سایبری باج‌افزاری

پس کسب و کارهای کوچک و متوسط چگونه می‌توانند از خود در برابر «باج‌افزار» و دیگر «حملات سایبری» مراقبت کنند؟

یکی از این راه‌ها در صورتی که تا به‌حال اینکار را انجام نداده‌اند، به‌کار گیری سپر دفاعی چند لایه‌ است، یعنی فراتر از صرفاً اجرای یک نرم‌افزار تشخیص بدافزار. آن‌ها باید ابزارهایی داشته باشند که در «اندپوینت»[6] و «لایه‌های شبکه» شفافیت ایجاد کند که شامل «EDR»[7] و «MDR»[8] می‌شود.

«EDR» به‌طور مداوم بر دستگاه‌های «اندپوینت» نظارت کرده و به فعالیت‌های مشکوک پاسخ می‌دهد تا حملات سایبری را کم اثر کند. ابزارهای «EDR» در«سرورهای ابری» یا «در محل» موجود بوده که داده‎‌ها را از دستگاه‌های «اندپوینت» جمع‌آوری کرده و سپس آن‌ها را برای مشکلات و حملات احتمالی تجزیه و تحلیل می‌کنند. این نرم‌افزار بر روی دستگاه‌های «کاربر نهایی» نصب شده و داده‌ها بر روی پایگاه‌دادۀ متمرکز ذخیره می‌شود.

«MDR» به شرکت‌ها «فعالیت‌های مداوم امنیت سایبری» و برون‌سپاری شده ارائه می‌کند و هم‌چنین امنیت را برای «اندپوینت‌ها»، «شبکه‌ها» و هم‌چنین «تجزیه و تحلیل امنیت» و «تخصص در تجسس حمله» به ارمغان می‌آورد. مراقبت در برابر «باج‌افزار» تلاشی مداوم است و نه صرفاً پاره وقت و از آن‌جایی که شرکت‌های کوچک بسیاری برای ارائۀ پوشش شبانه روزی تجهیز نشده‌اند، آن‌ها برای کمک به جلوگیری از انتشار و اجرای حملات «باج‌افزاری» درون سازمان به خدمات «MDR» نیاز دارند.

«MDR» و «EDR»

«MDR» و «EDR» برای کسب و کارهای کوچک و متوسط قابل دسترسی شده‌اند که امنیتی به «مرکز عملیات امنیت» ارائه می‌دهند که در گذشته تنها شرکت‌های بزرگ توانایی مالی برای تهیۀ آن را داشتند.

از آن‌جایی که حتی تاخیرهای جزئی در شناسایی و پاسخ به «باج‌افزار» می‌تواند منجر به مشکلات عدیده‌ای شود، دفاع در مقابل این حملات با استفاده از رویکرد چندلایه‌ایِ براساس حفاظت پیشگیرانه ضروری است.

کسب و کارهای کوچک و متوسط باید گذشته از استقرار آخرین ابزارهای امنیتی برای محافظت در برابر «باج‌افزار»، بر جلوگیری یا حداقل کاهش احتمال صدمه دیدن با یک حمله تمرکز داشته باشند که این مسئله شامل انجام ارزیابی‌های منظمِ خطرِ امنیتی، همراه با رویکردهای مداوم برای مدیریتِ وصلۀ امنیتی با استفاده از خدماتی مانند «MDR» و «EDR» است.

با انطباق پذیر شدن حملات «باج‌افزاری»، دورنمای این تهدیدات دائماً درحال تحول است، بنابراین ارزیابی‌های مکررِ خطر از طریق «MDR» و «EDR» پیشنهاد می‌شود. ارائه‌کنندگان معتبر فراوانی برای «خدمات امنیتی مدیریت شده» وجود دارد که می‌توان برای این ارزیابی‌ها و خدمات دیگر از آن‌ها کمک گرفت.

«کسب و کارهای کوچک و متوسط» باید درک کنند که «جلوگیری» کافی نیست، آن‌ها هم‌چنین باید دارای «برنامۀ کاهش اثر» مناسبی باشند که شامل «فایل پشتیبان غیر قابل نفود» است. زمانی که یک جریان احتمالی «باج‌افزار جدید» سعی در رمز گذاری فایل‌ها می‌کند، پشتیبان غیر قابل نفود از فایل‌های مورد نظر می‌تواند بعد از این‌که بدافزار مسدود شد، فایل‌ها را بازیابی کند.

«اینترنشنال دیتا کورپ» به راه‌های دیگری نیز اشاره کرده که شرکت‌ها می‌توانند از آن‌ها برای راهبرد خود در برابر «حملات باج‌افزاری» استفاده کنند. این راه‌ها شامل: «بررسی و تصدیق محافظت از داده‌ها و امنیت، انجام بازیابی اطلاعاتِ شرکا و تامین کنندگان»، «روش‌های دوره‌ای پاسخگویی تست حساسیت» و «توزیع مضاعف اطلاعات تهدید بین دیگر سازمان‌ها و یا نهاد‌های دولتی».

آموزش امنیت سایبری

هیچ‌گونه راهبرد امنیتی، بدون برنامه‌های آموزشی موثر برای تمام کاربران، کامل نیست. همان‌طور که گزارش شرکت «داتو» نشان داد، «آموزش کاربر مصرف‌کننده» بخش اساسی یک «راهبرد محافظت موثر در برابر باج‌افزار» است. به گزارش این شرکت «فیشینگ»، «فعالیت‌های ضعیف کاربر» و «فقدان امنیت سایبری از سمت کاربر» سه دلیل حملات موفق باج‌افزاری بوده است.

این گزارش ادامه می‌دهد، درک این مسئله مهم است که «آموزش امنیت» باید فراتر از صرفاً پوشش چگونگی تشخیص حملات فیشینگ باشد. با این‌که «فیشینگ» در صدر لیست قرار دارد، اما «رمز عبور ضعیف»، «دسترسی باز به پروتکل دسترسی از راه دور به دسکتاپ» و «گروهی از خطاهای کاربر» نیز از دلایل دیگر این نفوذها هستند.

اولویت قرار دادن راهبرد امنیت سایبری

«کسب و کارهای کوچک و متوسط» باید «امنیت سایبری» را در اولویت بالاترین سطوح شرکت قرار دهند. این مسئله به این معنا است که مدیر عامل و دیگر مدیران ارشد باید مثالی طراحی و آن ‌را شفاف‌سازی کنند که «فعالیت‌های امنیتی» که به جلوگیری از حملات باج‌افزاری کمک می‌کنند، وظیفۀ همۀ افراد است.

«کسب و کارهای کوچک و متوسط» با انجام اقدامات احتیاطی ضروری می‌توانند با قدرت در مقابل حملات «باج‌افزاری» و دیگر حملات دفاع کنند.

[1] bitdefender

[2] Trojans

[3] The Aeneid

[4] Virgil

[5] Datto

[6] Endpoint

[7] Endpoint Detection and Response

[8] Managed Detection and Response

 

منبع