اخاذی 4.5 میلیون دلاری از شرکت Equinix و چند درس برای سازمان‌های ایرانی

در یک سال اخیر تعداد حملات هدفمند باج‌افزاری به سازمان‌های بزرگ در کشورهای مختلف از جمله ایران افزایشی چشمگیر داشته است. این مهاجمان اهداف خود را به‌صورت خاص انتخاب کرده و پس از سرقت فایل‌ها و داده‌های بااهمیت اقدام به رمزگذاری و از دسترس خارج کردن فایل‌ها می‌کنند. در ادامه، قربانی تهدید می‌شود که در صورت عدم پرداخت مبلغ اخاذی‌شده، اطلاعات سرقت شده به صورت عمومی منتشر و افشا خواهد شد.

بسیاری از مهاجمان حرفه‌ای به این نتیجه رسیده‌اند که تمرکز بر روی سازمان‌های بزرگ و اخاذی هنگفت از آنها سودمندتر از انتشار انبوه باج‌افزار و باج‌گیری مبالغ به مراتب کم‌ارزش‌تر از قربانیان عادی است.

برای مثال، در پی حمله سایبری به شرکت چندملیتی Equinix و آلوده شدن سیستم‌های آن به باج‌افزار Netwalker مهاجمان از این غول مرکز داده مبلغ 455 بیت‌کوین (معادل 4.5 میلیون دلار) در ازای عرضه ابزار رمزگشایی و عدم افشای اطلاعات سرقت شده، اخاذی کرده‌اند.

بر طبق گزارشی که پیش‌تر شرکت امنیتی مک‌آفی آن را منتشر کرده بود گردانندگان باج‌افزار NetWalker در کمتر از شش ماه موفق به دریافت حداقل ۲۵ میلیون دلار از قربانیان خود شده بودند.

بررسی‌ها نشان می‌دهد دسترسی مبتنی بر Remote Desktop Protocol – به اختصار RDP – به 74 سرور متعلق به Equinix در بازارهای زیرزمینی تبهکاران سایبری به فروش می‌رسیده است. به همین خاطر رخنه اولیه به شبکه Equinix از طریق پودمان RDP بسیار محتمل دانسته می‌شود.

از جمله باج‌افزارهای دیگری که در جریان حملات هدفمند مهاجمان آن علاوه بر رمزگذاری، داده‌های قربانی را سرقت می‌کنند می‌توان به Ako، Avaddon، Clop، CryLock، DoppelPaymer، Maze، MountLocker، Nemty، Nephilim، Pysa/Mespinoza، Ragnar Locker، Revil، Sekhmet، Snatch وSnake  اشاره کرد.

متأسفانه در ماه‌های اخیر نمونه‌های متعددی از اجرای این گونه حملات به سازمان‌های ایرانی به شرکت مهندسی شبکه گستر گزارش شده است.

همچون کارزار اخیر NetWalker، در اکثر حملات هدفمند باج‌افزاری بر ضد سازمان‌های ایرانی، اتصال از راه دور مهاجمان به دستگاه‌های قابل دسترس در بستر اینترنت و با پودمان RDP باز و در ادامه اجرای حملات موسوم به سعی‌وخطا (Brute-force) اصلی‌ترین روش هک بوده است. در مواردی دسترسی RDP به یکی از سرورهای سازمان قربانی تنها برای چند ساعت باز بوده و همین مدت کم مهاجمان را قادر به هک موفق هک سرور کرده است. پس از موفقیت در رخنه به نخستین دستگاه شبکه، مهاجمان، با استفاده از اطلاعات اصالت‌سنجی هک‌شده در مرحله قبل، اقدام به توزیع باج‌افزار بر روی دستگاه‌های قابل دسترس از روی دستگاه نخست می‌کنند. باید توجه داشت گرچه نمونه‌های باج‌افزاری مورد استفاده توسط مهاجمان در بسیاری از مواقع توسط محصولات ضدویروس مطرح قابل شناسایی است لیکن با توجه به سطح دسترسی بالا (Administrator) مهاجمان بر روی دستگاه مورد هدف، عملاً امکان تقلیل کنترل‌های امنیتی و نظارتی تعریف شده و دست‌درازی به محصولات نصب شده بر روی دستگاه و در ادامه، نصب هر گونه بدافزار و ابزار مخرب دیگر برای آنها فراهم می‌شود.

همچنین عدم توجه به نصب کامل  اصلاحیه‌های امنیتی از جمله معضلاتی است که در بسیاری از سازمان‌های ایرانی هک شده به چشم می‌خورد. اطمینان از نصب بودن اصلاحیه‌های امنیتی به خصوص اصلاحیه‌های با درجه حساسیت “حیاتی” (Critical) بر روی تمامی سیستم‌ها نه یک توصیه که یک الزام و ضرورت امنیتی است.

متأسفانه تبعات اجرای موفق چنین حملاتی برای سازمان های قربانی بسیار پرهزینه و بعضاً جبران ناپذیر است.

موارد زیر از جمله نکاتی است که با رعایت آنها می‌توان سازمان را از گزند این بدافزار مخرب ایمن نگاه داشت:

  • استفاده از رمزهای عبور پیچیده، هک نشده و غیرتکراری برای حساب‌های کاربری محلی (Local) تحت دامنه (Domain) سیستم عامل و پایگاه‌های داده، به ویژه حساب‌های با سطح دسترسی Administrator/SysAdmin
  • غیرفعال کردن پودمان RDP یا حداقل تغییر درگاه پیش‌فرض آن
  • محدود کردن سطح دسترسی کاربران
  • اطمینان از نصب بودن اصلاحیه‌های امنیتی بر روی تمامی دستگاه‌ها
  • استفاده از ضدویروس قدرتمند و به‌روز با قابلیت نفوذیاب
  • استفاده از دیواره آتش در درگاه شبکه

اشتراک گذاری

Facebook
Twitter
WhatsApp
Telegram

نظرات

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *