نگاهی نزدیک به حملات یک باج‌افزار بی‌رحم

روابط عمومی

3 سال پیش

یافته‌های شرکت امنیتی سوفوس (Sophos Ltd) نشان می‌دهد نمی‌توان دو گروه از مهاجمان را یافت که از سرویس RaaS باج‌افزار REvil به‌نحوی یکسان در جریان حملات خود استفاده کرده باشند.

روی آوردن به سرویس‌های RaaS تغییراتی اساسی در روش کار باج‌افزارها ایجاد کرده است.

در خدمات باج‌افزار به‌عنوان سرویس (Ransomware-as-a-Service) – به اختصار RaaS -، صاحب باج‌افزار، فایل مخرب را به‌عنوان یک خدمت به متقاضی اجاره می‌دهد. متقاضی که ممکن است در برنامه‌نویسی تخصصی نداشته باشد تنها وظیفه انتشار باج‌افزار را بر عهده دارد. در نهایت بخشی از مبلغ اخاذی شده از قربانی به نویسنده و بخشی دیگر به متقاضی می‌رسد.

بدین‌ترتیب از یک سو برنامه‌نویسان آنها بر روی توسعه امکانات باج‌افزار تمرکز می‌کنند و از سویی دیگر وظیفه انتشار به گروه‌هایی با تجربه، متخصص و مجهز به منابع لازم سپرده می‌شود.

REvil که با نام Sodinokibi نیز شناخته می‌شود از جمله باج‌افزارهایی است که به‌صورت RaaS ارائه می‌شود و توانسته طرفداران زیادی را در بازارهای زیرزمینی تبهکاران سایبری به خود جلب کند.

شرکت امنیتی سوفوس در گزارشی به بررسی REvil و روش‌های بکار گرفته شده در جریان انتشار این باج‌افزار پرداخته که برگردان آن که با همکاری شرکت مهندسی شبکه گستر و مرکز مدیریت راهبردی افتای ریاست جمهوری تهیه گردیده در ادامه این مطلب ارائه شده است.

در حملات هدفمند باج‌افزاری، معمولا توزیع فایل مخرب باج‌افزار، آخرین مرحله از فرایند حمله است. در بسیاری مواقع تاریخ آغاز رخنه مهاجمان بسیار قبل‌تر از زمانی است که کاربران فایل اطلاعیه باج‌گیری (Ransom Note) را بر روی دسکتاپ خود می‌بینند.

در این گزارش ضمن مرور قابلیت‌های REvil، بر روی اقدامات تکثیرکنندگان، به‌طور خاص تمرکز شده است. اگر محصولات امنیتی یا راهبران شبکه بتوانند به‌سرعت این الگوها را کشف کنند در همان زمانی که مهاجمان در حال محکم کردن جای خود در شبکه هستند می‌توان پیش از وارد آمدن هر گونه خسارت تلاش آنها را ناکام گذاشت.

مهاجمان از ترکیبی از اسکریپت‌ها (که در برخی موارد بر روی انباره‌های فایلی نظیر Github یا Pastebin میزبانی می‌شوند) و در بسیاری موارد با استفاده از پودمان Remote Desktop Protocol – به اختصار RDP – یا دیگر ابزارهای دسترسی از راه دور امور را در شبکه قربانی مدیریت می‌کنند.

برای مثال در یکی از حملات، توزیع‌کنندگان REvil، اسکریپت‌های زیر را که همگی جزیی از یک مجموعه تست نفوذ (Penetration Tester Tools) هستند مستقیما از Github دریافت کرده بودند.

سوفوس یک حمله معمول REvil را به مراحل زیر تقسیم می‌کند:

نفوذ و فراهم کردن دسترسی اولیه
استخراج اطلاعات اصالت‌سنجی و ارتقای سطح دسترسی
آماده‌سازی بستر
توزیع باج‌افزار

همچنین در اغلب اوقات در مرحله‌ای از حمله، مهاجمان با تکیه بر اطلاعات اصالت‌سنجی به دست آمده اقدام به کشف و سرقت داده‌های حساس قربانی قبل از توزیع باج‌افزار می‌کنند.

نـفوذ بـه شـبکه

رخنه، بر خلاف آن چه که بسیاری تصور می‌کنند کار سختی برای هکرهای حرفه‌ای نیست. یکی از اصلی‌ترین روش‌های به کار گرفته شده در این مرحله اجرای حملات سعی‌وخطا (Brute-force) بر ضد سرویس‌های قابل دسترس بر روی اینترنت نظیر RDP و VNC و حتی برخی سامانه‌های رایانش ابری است.

سوءاستفاده از اطلاعات اصالت‌سنجی که پیش‌تر از طریق جاسوس‌افزارها و حملات فیشینگ به دست مهاجمان رسیده نیز یکی از روش‌های به کار گرفته شده در این مرحله است.

متاسفانه تلاش‌های سعی‌وخطا بخش زیادی از ترافیک تقریبا هر سرویس قابل دسترس بر روی اینترنت را تشکیل می‌دهد. هزینه اجرای حمله سعی‌وخطا اگر چه برای مهاجمان ناچیز است اما در صورت موفقیت عملا نقش دربی را خواهد داشت که به روی آنها برای ورود به شبکه باز شده است. به همین خاطر استفاده از سازوکارهای اصالت سنجی چندمرحله‌ای (MFA) راهکاری مؤثر در مقابله با این تهدیدات است. در این مرحله از ابزارهایی نظیر Shodan یا Censys نیز به‌منظور کشف درگاه‌های باز بهره گرفته می‌شود.

در یکی از حملات اخیر، سازمان با حجم انبوهی از تلاش‌ها برای ثبت‌ورود (Login) در بستر RDP مواجهه شده بود که در نهایت یکی از این تلاش‌ها به سرانجام می‌رسد. بر روی یک سرور عادی لاگی که تلاش‌های ناموفق برای ورود به سرور RDP را نگهداری می‌کند بسته به تعداد رخدادها ممکن است در عرض چند روز داده‌های جدید را بر روی داده‌های نه چندان قدیمی رونویسی کند. برای مثال در این نمونه در عرض پنج دقیقه، تقریبا 35000 تلاش ناموفق از سوی 349 نشانی IP منحصربه فرد از مبدا کشورهای مختلف ثبت شده بوده است. فهرست نام‌های کاربری که در جریان این حملات برای هک کردن آنها تلاش شده بود در تصویر زیر قابل مشاهده است:

RDP یکی از متداول‌ترین درگاه‌هایی است که مهاجمان از آن برای رخنه به شبکه بهره می‌گیرند. لذا از کار انداختن دسترسی از راه دور در بستر اینترنت یکی از کلیدی‌ترین راهکارها در مقابله با این تهدیدات است. اما RDP تنها پودمانی نیست که مورد سوءاستفاده قرار می‌گیرد. در بسیاری موارد نیز مهاجمان از طریق دیگر سرویس‌های قابل دسترس بر روی اینترنت و اجرای حملات سعی‌وخطا بر ضد آنها یا سوءاستفاده از آسیب‌پذیری‌های امنیتی راه رخنه به شبکه را پیدا می‌کنند. در یکی از این حملات، مهاجمان از باگی در نرم‌افزار یک سرور خاص VPN برای دسترسی به شبکه قربانی سوءاستفاده کرده بودند. در ادامه هم از یک باگ Apache Tomcat که پنج سال از شناسایی آن می‌گذشت بر روی همان سرور بهره‌جویی شده و در نهایت یک حساب کاربری با سطح دسترسی Administrator بر روی آن سرور ثبت شده بود.

در دو حمله به دو سازمان متفاوت نقطه اولیه دسترسی چیزی بود که از گروهی دیگر از مهاجمان بجا مانده بود که نشان می‌داد ماه‌ها پیش از دخالت محققان سوفوس آنها قربانی شده بودند. در یکی از این دو مورد، کارشناسان سوفوس، Cobalt Strike را که یک مجموعه ابزار تجاری تست نفوذ پرطرفدار است و به کرات مورد سوءاستفاده مهاجمان قرار می‌گیرد کشف کرده بودند. این ابزار توسط گروهی دیگر که پیش‌تر باج‌افزار Le Chiffre را شبکه قربانی توزیع کرده بودند جا مانده بود.

یا در نمونه‌ای دیگر به نظر می‌رسد مهاجمان اقدام به اجرای حمله “سعی‌و خطا” بر ضد ماشینی کردند که ردپای حضور مهاجمانی دیگر تنها سه هفته قبل از حمله REvil بر روی آن به چشم می‌خورد.

اسـتخراج اطلاعـات اصـالت‌سنجی و ارتـقای سطح دسـترسی

گردانندگان باج‌افزار ترجیح می‌دهند که از ابزارهای داخلی سازمان قربانی نظیر سرورهای Domain Controller برای توزیع کد مخرب استفاده کنند. اگر اطلاعات اصالت‌سنجی سرقت/کشف شده در جریان حملات فیشینگ را خریداری نکرده باشند معمولا ارتباطات را بر روی اولین دستگاه آلوده رصد می‌کنند. ضمن آن‌که ممکن است از ابزارهایی که به رایگان در دسترسند و لزوما مخرب محسوب نمی‌شوند برای استخراج رمزهای عبور ذخیره شده از روی دیسک سخت و/یا ابزارهای پیشرفته‌ای همچون Mimikatz برای دستیابی به اطلاعات اصالت‌سنجی یک حساب کاربری با سطح دسترسی Domain Admin دامنه بهره بگیرند. لازمه این کار صبوری مهاجمان است؛ به‌خصوص آن که تضمینی نیست که لزوما در زمان صرف شده به اطلاعات اصالت‌سنجی دست پیدا کنند. اما به محض دستیابی می‌توانند به‌سرعت وارد مرحله بعد شوند.

آمـاده‌سـازی بسـتر

آماده سازی یک شبکه سازمانی برای اجرای حمله‌ای باج‌افزاری پیچیده‌تر از آن است که به نظر می رسد. مهاجمان قبل از هر چیز نیاز به در اختیار داشتن سطح دسترسی Domain Admin برای از کاراندازی هر چیزی که مانع از اجرای موفق حمله آنها می‌شود دارند. از Windows Defender گرفته تا محصولات امنیتی دیگر؛ به‌طور معمول هکرها زمانی را صرف شناخت ابزارهای حفاظتی اجرا شده بر روی نقاط پایانی کرده و در ادامه با اجرای یک یا چندین اسکریپت سفارشی نسبت به از کاراندازی پروسه‌ها و سرویس‌های آنها تلاش می‌کنند.

برای مثال در جریان یکی از حملات REvil مهاجمان با اجرای اسکریپت زیر برای متوقف کردن سرویس‌ها و پروسه‌های سوفوس و حتی حذف آنها تلاش کرده بودند که البته قابلیت Sophos Tamper Protection مانع از موفقیت آنها شده بود.

در حداقل یک حمله REvil نیز مهاجمان با بررسی دقیق، دریافته بودند که قربانی از فایروال سوفوس استفاده کرده و امنیت نقاط پایانی خود را از طریق Sophos Central مدیریت می‌کند. این هکرها با پشتکار فراوان، پس از دستیابی به اطلاعات اصالت‌سنجی کارکنان واحد فناوری اطلاعات برای دسترسی یافتن به کنسول Sophos Central تلاش کرده بودند و در نهایت اطلاعات اصالت‌سنجی یکی از کارکنان، آنها را موفق به ورود به کنسول کرده بود. بدین‌ترتیب آنها قادر بودند تا هر امکان امنیتی را که مانع از توزیع باج‌افزار می‌شده به‌صورت مرکزی و از راه دور غیرفعال کنند.

به‌طور معمول، مهاجمان با بکارگیری اسکریپت‌های PowerShell، فایل‌های Batch و یا سایر کدهای بسترساز برای غیرفعال کردن قابلیت‌های امنیتی و حفاظتی نقاط پایانی قربانی تلاش می‌کنند. به عنوان نمونه Volume Shadow Copy در اکثر موارد توسط اسکریپت حذف می‌شود تا امکان بازگردانی فایل‌های حذف شده یا رمزگذاری شده از طریق آن ممکن نباشد.

تعداد فرامین مختلفی که مهاجمان می‌توانند از آنها برای اجرای این گونه اقدامات استفاده کنند اگر چه محدود است اما روش اجرای آنها در هر حمله متفاوت است. به گفته سوفوس در نامگذاری این اسکریپت‌ها، مهاجمان از اعداد و نام‌هایی که به آنها جلوه‌ای معتبر می‌دهد بهره می‌گیرند.

اسـتخراج و ارسـال داده‌هـا

در نیمی از رخدادهای مرتبط با REvil که توسط محققان سوفوس مورد بررسی قرار گرفته‌اند مهاجمان حجم زیادی از داده‌های خصوصی، حساس و باارزش را از سازمان‌های مورد حمله سرقت کردند. در تئوری، ارسال این حجم از داده‌ها باید خیلی زود، توجه مسئولان فناوری اطلاعات سازمان قربانی را به خود جلب کند اما در عمل در هیچ کدام از رخدادهایی که مورد بررسی محققان سوفوس قرار گرفته‌اند تا پیش از رمزگذاری فایل‌ها کسی متوجه خروج این حجم عظیم اطلاعات نشده بوده است.

عملا پس از فراهم شدن دسترسی‌های مورد نیاز، مهاجمان چندین روز را صرف کشف سرورهای فایل، استخراج حجم زیادی از اسناد و جاسازی آنها در یک یا چند فایل فشرده شده بر روی یکی از دستگاه‌های قربانی می‌کنند. به‌محض آنکه هر آنچه که به دنبال آن هستند را جمع‌آوری کردند ارسال آنها را آغاز می‌کنند که بسته به سرعت شبکه قربانی و حجم داده‌های سرقت شده می‌تواند از چند ساعت تا یک روز به طول بیانجامد.

مهاجمان از انواع سرویس‌های ذخیره‌سازی ابری بهره می‌گیرند. به‌نظر می‌رسد Mega.nz یکی از سرویس‌های رایانش ابری مورد علاقه مهاجمان است. به‌نحوی که در سه‌چهارم حملات مبتنی بر REvil که اطلاعات قربانی سرقت شده از Mega.nz به‌عنوان یک انباره موقت استفاده شده است.

در برخی از حملات، برنامه Mega Client بر روی دستگاه‌های قربانی باقی مانده بود که احتمالا مهاجمان از آن جهت بالا بردن سرعت آپلودها استفاده کرده بودند. تعداد کمتری از مهاجمان نیز از روش‌هایی دیگر نظیر نصب نسخه به اصطلاح Portable نرم‌افزار FileZilla FTP Client برای آپلود داده‌ها به یک سرور در اختیار خود در خارج از شبکه استفاده کرده بودند.

هدف از سرقت داده‌ها، تهدید قربانی به انتشار آنها در صورت عدم پرداخت باج است. مهاجمان ادعا می‌کنند در صورتی که قربانی اقدام به پرداخت مبلغ اخاذی شده کند هیچ رونوشتی از داده‌ها را برای خود نگاه نخواهند داشت. ضمن آن‌که هیچ تضمینی برای انجام این کار وجود ندارد، در بسیاری موارد نیز ثابت شده که نمی‌توان روی قول مهاجمان حساب باز کرد.

ضـربه نهـایی: تـوزیـع

مهاجمان به روش‌های مختلف کد مخرب باج‌افزار را توزیع می‌کنند. از توزیع از طریق سرورهای Domain Controller گرفته تا بکارگیری فرامین مبتنی بر WMIC و PsExec برای فراخوانی و اجرای کد مخرب باج‌افزار بر روی سرورها و ایستگاه‌های کاری.

REvil مجهز به قابلیت‌هایی است که مهاجمان ممکن است در جریان توزیع باج‌افزار از آنها بهره بگیرند. در یکی از موارد، باج‌افزار دستگاه را راه‌اندازی مجدد کرده و پس از بالا آوردن آن در حالت Safe Mode عملیات رمزگذاری را آغاز می‌کند. در حالت Safe Mode درایورها و سرویس‌های ثالث اجرا نمی‌شوند. اما از آنجا که قبل از آن، REvil، پروسه خود را به فهرست بسیار کوتاه برنامه‌های قابل اجرا در حالت Safe Mode افزوده است بدون هیچ‌گونه مشکل و محدودیتی و به دور از چشم بسیاری از محصولات امنیتی به رمزگذاری فایل‌های قربانی می‌پردازد.

یا در نمونه‌ای دیگر، مهاجمان با نصب نسخه کامل VirtualBox و یک فایل دیسک مجازی حاوی Windows 10 آلوده به باج‌افزار، رمزگذاری فایل‌های قربانی را از روی ماشین مجازی میهمان انجام داده بودند.

در مواردی نیز مشاهده شده که مهاجمان از WMI برای ایجاد سرویس استفاده کرده‌اند. این موارد شامل رشته فرامینی طولانی و رمز شده هستند که مگر در صورت اطلاع از متغیرهایی با مقادیر خاص تحلیل آنها ممکن نخواهد بود. این متغیرها شامل اطلاعاتی همچون نام ماشین، نشانی IP، دامنه و نام کاربری است. اگر از همه اینها بر روی دستگاهی که سرویس بر روی آن نصب شده اطلاع نداشته باشید تحلیل کد بسیار دشوار خواهد بود.

بـاج‌افـزار؛ مـروری بر عملـکرد آن

REvil در قالب یک فایل اجرایی بسته‌بندی (Packed) و رمز شده کار می‌کند که در آن چندین قابلیت ضدتحلیل لحاظ شده است. فایل دودویی (Binary) آن حاوی پیکربندی‌های خاص و اطلاعیه باج‌گیری است.

پس از اولین اجرا، بدافزار، پروفایل‌های ماشین را هدف قرار داده، پروسه‌های اجرا شده را فهرست می‌کند و Volume Shadow Copy، به‌روزرسانی‌های Windows Defender، فایل‌های پشتیبان/موقت مورد استفاده توسط برخی نرم‌افزارهای ثالث را حذف می‌کند. برای مثال تصویر زیر بخشی از کدی را نشان می‌دهد که وظیفه آن حذف به‌روزرسانی‌های Windows Defender است.

باج‌افزار، پروسه‌های اجرا شده را شناسایی کرده و آنهایی را که با فهرست آن مطابقت دارند از کار می‌اندازد. فهرست مذکور شامل 30 پروسه از جمله پروسه برنامه‌های پایگاه داده، Office، مدیریت ایمیل، پشتیبان‌گیری و مرورگر Firefox است.

REvil فهرستی از سرویس‌های نصب شده را نیز استخراج کرده و برای متوقف کردن سرویس‌های متعلق به محصولات امنیتی تلاش می‌کند.

در ادامه، باج‌افزار اطلاعیه باج‌گیری را که در کد آن لحاظ شده استخراج کرده و در قالب یک فایل آن را در ریشه درایو C: ذخیر می‌کند. فایل مذکور حاوی یک نشانی در شبکه ناشناس TOR به همراه دستورالعمل نحوه برقراری ارتباط با مهاجمان است.

در فایل Configuration یک فایل تصویری bmp تزریق شده که باج‌افزار آن را پس از ذخیره در مسیر زیر، جایگزین تصویر پس‌زمینه Desktop دستگاه آلوده می‌کند.

%AppData%\Local\Temp

فایل اطلاعیه باج‌گیری با همان هشت نویسه‌ای آغاز می‌شود که به نام هر فایل رمز شده نیز الصاق می‌شود.

REvil از الگوریتم curve25519/salsa20 برای رمزگذاری فایل‌ها استفاده می‌کند.

پیکربندی حاوی فهرست مفصلی از پوشه‌ها، انواع فایل و نام‌های فایل خاصی است که با هدف عدم بروز اختلال در فرایند بالا آمدن دستگاه از رمزگذاری آنها پرهیز می‌شود.

شکل زیر بخشی از یک فایل رمز شده را نشان می‌دهد که در آن نحوه رمزگذاری گام‌به‌گام Salsa20 به تصویر کشیده شده است.

باج‌افزار در حین اجرا اقداماتی به غیر از رمزگذاری نیز انجام می‌دهد. از جمله، ارسال آمار و گزارش از وضعیت رمزگذاری به دامنه‌هایی که در کد آن درج شده‌اند. برقراری ارتباط با این دامنه‌ها می‌تواند نشانه‌ای قابل اطمینان از وجود آلودگی باشد.

پرداخت باج REvil مدتی است که باید از طریق رمز ارز مونرو انجام شود. شاید یکی از دلایل آن بیشتر بودن قابلیت‌های حریم خصوصی در مونرو در مقایسه با بیت‌کوین باشد.

رعایت موارد زیر در این روزگار پررونق باج‌افزارها بیش از هر زمانی اهمیت دارد.

رصد و واکنش به رخدادهای مشکوک – اطمینان حاصل کنید که ابزارها، پروسه‌ها و منابع انسانی و تجهیزات سخت‌افزاری لازم برای رصد و پاسخدهی به تهدیدات در سازمان پیاده‌سازی شده باشد. ارزیابی و بررسی سریع یک هشدار یا رخداد امنیتی توسط یک متخصص بسیار کلیدی است. در بسیاری مواقع، مهاجمان اجرای عملیات را به ساعات کم‌ترافیک، روزهای آخر هفته و تعطیلات موکول می‌کنند؛ با این فرض که در این ساعات و ایام افراد کمتری بر رخدادها نظارت دارند.

رمزهای عبور؛ همیشه پیچیده – استفاده از رمزهای عبور قدرتمند اولین خط دفاعی است. قوانین پیچیدگی در انتخاب رمز عبور در نظر گرفته شده و طول رمزهای عبور حداقل 12 نویسه باشد. استفاده از راهکارهای Password Manager در بکارگیری رمزهای عبور پیچیده که در انحصار افراد مستقل هستند کمک‌کننده خواهد بود. از یک رمز عبور هیچ‌گاه در دو جا استفاده نشود.

اصالت‌سنجی؛ چندمرحله‌ای (MFA) – حتی رمزهای عبور قدرتمند می‌توانند هک شوند. استفاده از هر نوع سازوکار اصالت‌سنجی چندمرحله‌ای برای به دسترسی به منابع حساس نظیر ایمیل‌ها، ابزارهای مدیریت از راه دور و تجهیزات شبکه‌ای بجای اتکای صرف به رمز عبور توصیه می‌شود. برنامک‌های ایجادکننده رمز یک‌بار مصرف بر روی گوشی‌های هوشمند امن‌تر از سامانه‌های اصالت‌سنجی چندمرحله‌ای مبتنی بر ایمیل یا پیامک به نظر می‌رسند. در مواقعی که مهاجمان موفق به رخنه به شبکه شده‌اند، ایمیل‌ها هم ممکن است هک شده باشند و SIM Swapping اگر چه متداول نیست اما در هر صورت می‌تواند کدهای اصالت‌سنجی چندمرحله‌ای پیامکی را مورد دست‌درازی قرار دهد. اما به هر حال اصالت‌سنجی چندمرحله‌ای به هر شکلی می‌تواند موجب افزایش امنیت شود.

مقاوم‌سازی؛ به ویژه سرویس‌های قابل دسترس – با پویش شبکه از خارج از سازمان درگاه‌های مورد استفاده به خصوص پودمان‌ها و درگاه‌های RDP و VNC و به‌طور کلی هر ابزار دسترسی از راه دور مقاوم‌سازی شود. اگر قرار است ماشینی از طریق ابزارهای مدیریت از راه دور قابل دسترس باشد در پشت VPN مجهز به اصالت‌سنجی چندمرحله ای قرار بگیرد. ضمن اینکه ماشین مذکور از طریق VLAN با سایر دستگاه‌ها جداسازی شود.

تقسیم‌بندی؛ با رویکرد اعتماد-صفر – با بهره‌گیری از VLAN و Segmentation و لحاظ کردن رویکرد اعتماد-صفر (Zero-trust)، سرورهای حیاتی از یکدیگر و از ایستگاه‌های کاری جداسازی شوند.

تهیه فهرست از تجهیزات و حساب‌های کاربری؛ به‌روزرسانی مستمر آن – دستگاه‌های حفاظت و وصله نشده در شبکه موجب افزایش ریسک و آسیب‌پذیری به انواع حملات می‌شوند. برای اطمینان از تحت حفاظت بودن دستگاه‌ها، نیاز به وجود فهرستی از کامپیوترها و تجهیزات IoT است. از پویش‌های شبکه و بررسی‌های فیزیکی برای یافتن و فهرست کردن آنها استفاده کنید.

پیکربندی صحیح محصولات؛ همراه بازبینی مستمر – اطمینان حاصل شود که محصولات امنیتی بر اساس به‌روش‌ها پیکربندی شده باشند. پالیسی‌های پیکربندی و فهرست استثنائات به‌طور منظم بررسی شود. باید در نظر داشت که امکانات جدید ممکن است به‌صورت خودکار فعال نباشند.

Active Directory؛ رصد مستمر حساب‌های کاربری – با انجام ممیزی‌های مستمر تمامی حساب‌های کاربری دامنه، اطمینان حاصل شود که هیچ حساب کاربری بیشتر از حد معمول مورد استفاده قرار نگرفته باشد. حساب کاربری به‌محض جدا شدن کاربر از مجموعه غیرفعال شود.

وصله کنید؛ همه چیز را – Windows و سایر نرم‌افزارها به‌روز نگاه داشته شوند. از نصب کامل و صحیح اصلاحیه‌ها بر روی سرورهای حیاتی از جمله سامانه‌های قابل دسترس بر روی اینترنت اطمینان حاصل شود.

منبع:

https://news.sophos.com/en-us/2021/06/11/relentless-revil-revealed/