ارائه راهکارهای مهم برای پیشگیری از حملات باج‌افزار – قسمت اول

باج‌افزار چیست؟ یک کد مخرب است که تا زمانی که پرداخت باج به مجرم سایبری انجام شود، فایل‌ها و یا سیستم‌عامل یک Endpoint را از دسترس خارج می‌کند، این Endpoint می‌تواند یک دستگاه کاربر یا یک سرور باشد.

مجرمان سایبری در حملات باج‌افزار از باج‌افزارهایی استفاده می‌کنند تا دستگاه‌ها یا سیستم‌ها را تحت کنترل خود درآورند و اخاذی کنند. وقتی که این بدافزار نصب شد، هکر کنترل کاربر را بدست می‌گیرد تا زمانی که باجی پرداخت گردد. در اولین نسخه‌های باج‌افزارها، مهاجم ادعا می‌کرد که پس از پرداخت باج، کاربر کلیدی رمزگشایی‌شده را دریافت خواهد کرد تا بتواند کنترل رایانه‌ی خود را بدست بگیرد.

منظور از تکامل حملات باج‌افزار چیست

میتوان گفت حملات باج‌افزار به سرعت پیشرفت و تکامل پیدا کرده است و اکنون انواع مختلفی دارد. برخی از باج‌افزار‌ها فقط فایل‌ها را رمزگذاری می‌کنند، درحالی‌که باج‌افزارهای دیگر، سیستم را نابود می‌کنند. برخی از مجرمین سایبری فقط انگیزه‌ی مالی دارند و پس از دریافت باج، سیستم‌ها را به حالت عادی بازمی‌گردانند. انواع دیگر مهاجمین به دلیل کینه‌ورزی یا شاید دلایل سیاسی یا غیره، پس از دریافت باج نیز عملیات را به حالت عادی بازنمی‌گردانند.

ارزیابی میزان آسیب‌پذیری امنیت سازمان نسبت به باج‌افزار با راهکار اسپلانک

ویدیوهای بیشتر در مورد باج افزار

در حال حاضر، بسیاری از کمپین‌های باج‌افزار از اقدامات و روش‌های مختلفی برای دریافت باج استفاده می‌کنند. برخی از مجرمان سایبری، علاوه بر اینکه سیستم‌ها را تا گرفتن باج از دسترس خارج می‌کنند، داده‌هایی را به سرقت برده و تهدید می‌کنند که در صورت عدم پرداخت باج، داده‌ها را منتشر خواهند کرد. مهاجمین دیگر حتی با مشتریانی که داده‌هایشان به سرقت رفته است نیز تماس گرفته و سعی می‌کنند از آن‌ها باج بگیرند.

حملات باج‌افزار توانسته‌اند به مدت چندین ساعت، روز یا حتی بیشتر سازمان‌هایی را به‌طور کامل فلج کنند. جدیدترین دسته‌ی تهدیدات باج‌افزار نیازمند اقداماتی بسیار بیشتر از پشتیبان‌گیری‌های ایمن و فرایندهای پیشگیرانه هستند.

در گذشته پشتیبان‌گیری‌های ایمن و فرایند بازیابی پیشگیرانه معمولاً برای یک سازمان کافی بودند. اما نسخه‌های جدید باج‌افزار نیازمند راهکارهای امنیتی جامع‌تری هستند.

پیشگیری از حملات باج‌افزار

خبر خوب این است در حملات باج‌افزار پیچیده و چندمرحله‌ای امروز، قربانیان و سازمان‌هایی که احتمال دارد مورد حمله قرار بگیرند این فرصت را دارند که پیش از اینکه داده‌هایشان به سرقت برود یا فایل‌ها و رایانه‌هایشان قفل شود حمله را متوقف کنند.

البته بهتر است که از همان ابتدا به مهاجم اجازه داده نشود کار خود را شروع کند، اما حتی اگر مهاجم بتواند وارد شود، شناسایی مراحل اولیه مثل کشف شبکه، ارتباطات دستور و کنترل، حرکت جانبی، جمع‌آوری داده و Staging، استخراج و رمزگذاری حیاتی هستند. در ادامه توصیه‌هایی در مورد پیشگیری از باج‌افزار و بهترین روش برای پاسخ به یک حمله‌ی باج‌افزار بیان می‌شود.

توصیه ی مهم در جهت کاهش ریسک باج‌افزار

1. عدم کلیک روی لینک‌های تاییدنشده: اگر لینکی در قسمت اسپم ایمیل یا در یک وب‌سایت ناشناس است، باید از آن اجتناب کرد. معمولاً هکرها باج‌افزار را از طریق لینک مخربی پخش می‌کنند که دانلود بدافزار را آغاز می‌کند. وقتی که بدافزار روی رایانه قرار گرفت، می‌تواند داده‌ها را رمزگذاری کند، آن‌ها را گروگان بگیرد و فقط افرادی که کلید رمزگشایی دارند بتوانند به آن دسترسی پیدا کنند. اما در ابتدا بدافزار باید وارد رایانه شود و محبوب‌ترین روش برای پخش باج‌افزار از طریق لینک‌های مخرب است. اگر لینکی تائید نشده باشد، بهتر است که کنار گذاشته شود.

بیشتر بخوانید: راهکارهای الزامی برای حفاظت سازمان در برابر حملات باج‌افزار

2. اسکن کردن ایمیل‌ها برای بدافزار

متوقف کردن ویروس باج‌افزار یا بدافزارهای دیگر با اسکن کردن ارتباطات ایمیل شروع می‌شود. ابزار اسکن ایمیل معمولاً نرم‌افزارهای مخرب را شناسایی می‌کنند. پس از اینکه اسکنر بدافزاری را شناسایی کرد، می‌توان ایمیل را کنار گذاشت تا هرگز وارد Inbox نشود.

معمولاً بدافزار در ایمیل در یک ضمیمه یا درون فایلی در بدنه‌ی ایمیل کارگذاری می‌شود. دیده شده است که هکرها تصاویری را در ایمیل وارد می‌کنند که ظاهراً بی­خطر هستند، اما وقتی روی آن تصویر کلیک شود، باج‌افزاری روی رایانه نصب می‌گردد. اسکن کردن ایمیل‌هایی که چنین فایل‌های دارند، می‌تواند از اینکه دستگاه‌های روی شبکه آلوده گردند، جلوگیری کند.

3. استفاده از فایروال‌ها و حفاظت از Endpoint: فایروال‌ها می‌توانند راهکار خوبی برای متوقف کردن حملات باج‌افزار محسوب شوند. فایروال‌ها ترافیکی که از هر دو سمت می‌آید را اسکن می‌کنند تا بدافزار و تهدیدات دیگری را در آن پیدا کنند. بدین‌صورت، فایروال می‌تواند نشان دهد که یک فایل از کجا آمده است، به کجا می‌رود و اطلاعات دیگری را در مورد نحوه‌ی حرکت آن نشان دهد و سپس با استفاده از آن اطلاعات پیش‌بینی کند که آیا حاوی باج‌افزار هست یا خیر. 

به‌علاوه یک فایروال نسل جدید یا NGFW می‌تواند از Deep Packet Inspection یا DPI استفاده کند تا محتوای داده‌ها را بررسی کرده و به دنبال باج‌افزار بگردد و سپس فایل‌های حاوی باج‌افزار را کنار بگذارد.

با وجود حفاظت از Endpoint، می‌توان از Endpointها در مقابل تهدیدات حفاظت کرد. انواع به‌خصوصی از ترافیک هستند که بیشتر احتمال دارد تهدیداتی را به همراه داشته باشند و حفاظت از Endpoint می‌تواند موجب شود دستگاه کاربران با آن داده‌ها ارتباط نداشته باشد. همچنین ممکن است هکرها برای آلوده کردن Endpointها به باج‌افزار، از برنامه‌های کاربردی مخرب استفاده کنند. حفاظت از Endpoint از اینکه Endpointها چنین برنامه‌های کاربردی را اجرا کنند، پیشگیری به عمل می‌آورد.

4. دانلود کردن فقط از سایت‌های مورد اعتماد: بسیار متداول است که هکرها بدافزارهایی را روی یک وب‌سایت قرار دهند و سپس از محتوای خاص یا مهندسی اجتماعی استفاده کنند تا کاربران را تحریک نمایند که روی سایت کلیک کند. مهندسی اجتماعی معمولاً از طریق ترس روی کاربر فشار می‌گذارد تا او را مجبور کند که اقدام مورد نظر هکر را انجام دهد که در این مورد کلیک کردن روی لینک مخرب است.

بیشتر بخوانید: ده گام مؤثر و حیاتی برای مقابله با باج‌افزار در سازمان‌ها

در بسیاری از مواقع، لینک بی‌خطر به نظر می‌رسد. اگر کاربر با سایت آشنایی نداشته باشد یا Uniform Resource Locator یا URL آن مشکوک به‌نظر برسد، حتی اگر ظاهراً سایت قابل‌اطمینانی باشد، باید از آن دوری کرد. مجرمین سایبری معمولاً سایت‌هایی جعلی می‌سازند که شبیه سایت‌های قابل‌اطمینان هستند. پیش از اقدام به دانلود از یک سایت، همیشه باید URL آن بررسی شود.

5. حفظ پشتیبان‌گیری‌های داده‌های مهم: مهاجمین باج‌افزار دوست دارند از کاربرانی که برای کار در سازمان‌ خود به داده‌های به‌خصوصی تکیه می‌کنند، سوءاستفاده نمایند. معمولاً به این دلیل که داده نقشی کلیدی در عملیات روزمره دارد، ممکن است قربانی احساس کند برای اینکه بتواند دوباره به داده‌ی خود دسترسی پیدا کند، تسویه کردن باج کار منطقی‌تری است. برای مقابله با این وسوسه، می‌توان داده‌های خود را به‌صورت منظم پشتیبان‌گیری کرد.

اگر داده‌ی کاربر در دستگاه یا مکانی پشتیبان‌گیری شده باشد که برای دسترسی به آن به رایانه‌ نیاز نباشد، در صورت یک حمله‌ی موفقیت‌آمیز، می‌توان به‌سادگی داده‌ها را بازیابی کرد. باید اطمینان حاصل کرد که همه‌ی داده‌های حیاتی مرتباً پشتیبان‌گیری می‌شوند، زیرا اگر زمان زیادی بگذرد، ممکن است داده‌های موجود برای پشتیبانی از تداوم کسب‌و‌کار کافی نباشند.

6. استفاده از VPN در حین استفاده از Wi-Fi عمومی: استفاده از Wi-Fi عمومی بسیار راحت و بی‌دردسر است و معمولاً نیازی به رمز عبور ندارد. متأسفانه استفاده از Wi-Fi عمومی برای پخش باج‌افزار برای هکرها نیز کار بسیار ساده‌ای است. هر زمانی که در شبکه Wi-Fi عمومی باشیم، باید از یک شبکه‌ی خصوصی مجازی یا VPN استفاده کنیم.

وقتی به اینترنت متصل باشیم، VPN داده‌هایی را که وارد دستگاه و از آن خارج می‌شوند رمزگذاری می‌کند. در عمل، VPN تونلی را می‌سازد که داده‌ها از آن عبور می‌کنند. برای ورود به تونل، کاربر باید یک کلید رمزگذاری داشته باشد. همچنین برای خواندن داده‌هایی که از تونل عبور می‌کند، هکر باید بتواند آن را رمزگشایی کند. برای مسدود کردن باج‌افزار، VPN باعث می‌شود که افراد خارج از شبکه نتوانند وارد اتصال کاربر شوند و بدافزارها را در مسیر رایانه‌ی او قرار دهند.

7. استفاده از نرم‌افزار امنیتی: نرم‌افزار‌های امنیتی می‌توانند ابزار قدرتمندی در پیشگیری از باج‌افزار چیست؟ نرم‌افزار‌های امنیتی می‌توانند ابزار قدرتمندی در پیشگیری از باج‌افزار باشند درنتیجه، معمولاً در بین بهترین راهکارها برای پیشگیری از باج‌افزار قرار می‌گیرند. نرم‌افزارهای امنیتی فایل‌هایی که از اینترنت وارد رایانه می‌شوند را بررسی می‌کنند. وقتی که یک فایل مخرب شناسایی شد، نرم‌افزار از ورود آن به رایانه پیشگیری می‌کند.

نرم‌افزارهای امنیتی از پروفایل‌های تهدیدات شناسایی‌شده و انواع فایل مخرب استفاده می‌کنند تا مشخص شود که کدام موارد می‌توانند برای رایانه خطرناک باشند. برای به‌روز ماندن، نرم‌افزارهای امنیتی معمولاً دارای بروزرسانی‌های منظم و رایگان هستند. ارائه‌دهنده می‌تواند این بروزرسانی‌ها را به‌صورت خودکار نصب کند. وقتی که ارائه‌دهنده از تهدیدات جدید خبردار می‌شود، پروفایل او در بروزرسانی قرار می‌گیرد. تا زمانی که اطمینان حاصل شود نرم‌افزار به‌صورت منظم بروزرسانی می‌شود، بهترین حفاظت نرم‌افزار فراهم می‌گردد.

8. عدم استفاده از دستگاه‌های USB ناآشنا: دستگاه Universal Serial Bus یا همان USB دستگاهی است که می‌توان با استفاده از آن فایل مخربی را ذخیره کرد که شاید حاوی باج‌افزار باشد. ممکن است USB دارای یک فایل قابل‌اجرا باشد که بتواند رایانه را آلوده کند و یا ممکن است به‌طور خودکار پس از وارد شدن دستگاه USB به رایانه این اتفاق بیفتد؛ در هر صورت ممکن است زمان خیلی کمی طول بکشد تا یک USB ظاهراً سالم رایانه را دچار آسیب کند.

ممکن است مجرمان سایبری دستگاه USB را رها کنند و بدانند که برخی از افراد آن را برمی‌دارند و وسوسه می‌شوند که آن را وارد رایانه خود کنند. حتی ممکن است مجرمان سایبری برچسبی را روی آن بزنند که نشان دهد این USB هدیه‌ای از یک شرکت معتبر است. اگر فردی دستگاه USB ناشناسی را پیدا کرد، نباید آن را وارد رایانه خود کند. ایمن‌ترین USBها، آن‌هایی هستند که از یک فروشگاه خریداری شده و داخل بسته‌بندی قرار دارند.

9. اجتناب از ارائه‌ی داده‌های شخصی: یک مجرم سایبری با داشتن داده‌های شخصی افراد می‌تواند تله‌هایی را بگذارد تا باج‌افزارهایی را وارد رایانه کند یا کاربر را فریب دهد که خودش آن‌ها را روی دستگاه خود نصب‌ کند. افراد معمولاً در رایانه و وب‌سایت‌ها و حساب‌های کاربری خود از رمزهای عبور یکسانی استفاده می‌کنند. یک مجرم سایبری می‌تواند با استفاده از داده‌های شخصی افراد به حساب کاربری آن‌ها دسترسی پیدا کند و سپس از آن رمز عبور استفاده کرده و وارد رایانه شده و باج‌افزار را نصب کند.

اگر افراد داده‌های شخصی خود را ارائه ندهند، انجام این نوع حملات برای مجرمان سایبری دشوار می‌شود، مخصوصاً به این دلیل که باید راه دیگری برای پیدا کردن رمزهای عبور یا اطلاعات حساب کاربری پیدا کنند. داده‌های شخصی همچنین شامل نام افراد، حیوانات خانگی یا مکان‌هایی است که به‌عنوان پاسخ به سؤالات امنیتی حساب‌های کاربری ارائه می‌شوند.

مقاله های مرتبط: