در یک سال اخیر تعداد حملات هدفمند باجافزاری به سازمانهای بزرگ در کشورهای مختلف از جمله ایران افزایشی چشمگیر داشته است. این مهاجمان اهداف خود را بهصورت خاص انتخاب کرده و پس از سرقت فایلها و دادههای بااهمیت اقدام به رمزگذاری و از دسترس خارج کردن فایلها میکنند. در ادامه، قربانی تهدید میشود که در صورت عدم پرداخت مبلغ اخاذیشده، اطلاعات سرقت شده به صورت عمومی منتشر و افشا خواهد شد.
بسیاری از مهاجمان حرفهای به این نتیجه رسیدهاند که تمرکز بر روی سازمانهای بزرگ و اخاذی هنگفت از آنها سودمندتر از انتشار انبوه باجافزار و باجگیری مبالغ به مراتب کمارزشتر از قربانیان عادی است.
برای مثال، در پی حمله سایبری به شرکت چندملیتی Equinix و آلوده شدن سیستمهای آن به باجافزار Netwalker مهاجمان از این غول مرکز داده مبلغ 455 بیتکوین (معادل 4.5 میلیون دلار) در ازای عرضه ابزار رمزگشایی و عدم افشای اطلاعات سرقت شده، اخاذی کردهاند.
بر طبق گزارشی که پیشتر شرکت امنیتی مکآفی آن را منتشر کرده بود گردانندگان باجافزار NetWalker در کمتر از شش ماه موفق به دریافت حداقل ۲۵ میلیون دلار از قربانیان خود شده بودند.
بررسیها نشان میدهد دسترسی مبتنی بر Remote Desktop Protocol – به اختصار RDP – به 74 سرور متعلق به Equinix در بازارهای زیرزمینی تبهکاران سایبری به فروش میرسیده است. به همین خاطر رخنه اولیه به شبکه Equinix از طریق پودمان RDP بسیار محتمل دانسته میشود.
از جمله باجافزارهای دیگری که در جریان حملات هدفمند مهاجمان آن علاوه بر رمزگذاری، دادههای قربانی را سرقت میکنند میتوان به Ako، Avaddon، Clop، CryLock، DoppelPaymer، Maze، MountLocker، Nemty، Nephilim، Pysa/Mespinoza، Ragnar Locker، Revil، Sekhmet، Snatch وSnake اشاره کرد.
متأسفانه در ماههای اخیر نمونههای متعددی از اجرای این گونه حملات به سازمانهای ایرانی به شرکت مهندسی شبکه گستر گزارش شده است.
همچون کارزار اخیر NetWalker، در اکثر حملات هدفمند باجافزاری بر ضد سازمانهای ایرانی، اتصال از راه دور مهاجمان به دستگاههای قابل دسترس در بستر اینترنت و با پودمان RDP باز و در ادامه اجرای حملات موسوم به سعیوخطا (Brute-force) اصلیترین روش هک بوده است. در مواردی دسترسی RDP به یکی از سرورهای سازمان قربانی تنها برای چند ساعت باز بوده و همین مدت کم مهاجمان را قادر به هک موفق هک سرور کرده است. پس از موفقیت در رخنه به نخستین دستگاه شبکه، مهاجمان، با استفاده از اطلاعات اصالتسنجی هکشده در مرحله قبل، اقدام به توزیع باجافزار بر روی دستگاههای قابل دسترس از روی دستگاه نخست میکنند. باید توجه داشت گرچه نمونههای باجافزاری مورد استفاده توسط مهاجمان در بسیاری از مواقع توسط محصولات ضدویروس مطرح قابل شناسایی است لیکن با توجه به سطح دسترسی بالا (Administrator) مهاجمان بر روی دستگاه مورد هدف، عملاً امکان تقلیل کنترلهای امنیتی و نظارتی تعریف شده و دستدرازی به محصولات نصب شده بر روی دستگاه و در ادامه، نصب هر گونه بدافزار و ابزار مخرب دیگر برای آنها فراهم میشود.
همچنین عدم توجه به نصب کامل اصلاحیههای امنیتی از جمله معضلاتی است که در بسیاری از سازمانهای ایرانی هک شده به چشم میخورد. اطمینان از نصب بودن اصلاحیههای امنیتی به خصوص اصلاحیههای با درجه حساسیت “حیاتی” (Critical) بر روی تمامی سیستمها نه یک توصیه که یک الزام و ضرورت امنیتی است.
متأسفانه تبعات اجرای موفق چنین حملاتی برای سازمان های قربانی بسیار پرهزینه و بعضاً جبران ناپذیر است.
موارد زیر از جمله نکاتی است که با رعایت آنها میتوان سازمان را از گزند این بدافزار مخرب ایمن نگاه داشت:
- استفاده از رمزهای عبور پیچیده، هک نشده و غیرتکراری برای حسابهای کاربری محلی (Local) تحت دامنه (Domain) سیستم عامل و پایگاههای داده، به ویژه حسابهای با سطح دسترسی Administrator/SysAdmin
- غیرفعال کردن پودمان RDP یا حداقل تغییر درگاه پیشفرض آن
- محدود کردن سطح دسترسی کاربران
- اطمینان از نصب بودن اصلاحیههای امنیتی بر روی تمامی دستگاهها
- استفاده از ضدویروس قدرتمند و بهروز با قابلیت نفوذیاب
- استفاده از دیواره آتش در درگاه شبکه