اشتراک مقالات

ارائه راهکارهای مهم برای پیشگیری از حملات باج‌افزار – قسمت دوم (پایانی)

167 مشاهده 2 29 مرداد, 1402

Ransomware چیست

در قسمت اول مقاله 9 توصیه ی مهم در جهت کاهش ریسک Ransomware را بررسی کردیم و توضیح دادیم که تعداد و روند تخریب باج­افزارها روز به روز در حال توسعه و گسترش می­باشد. در ادامه مقاله در مورد چگونگی پاسخ به حملات باج افزار صحبت خواهیم کرد. وارد شدن حملات باج‌افزار به کامپیوتر یا شبکه‌ی سازمان به معنای پایان کار و ناتوانی در ایجاد بهبود وضعیت موجود نیست. اغلب می‌توان با اقدام سریع آسیب‌های حمله باج‌افزار را محدود کرد.

لایسنس اسپلانک

منظور از قرنطینه کردن Ransomware چیست

اولین اقدامی که باید انجام داد، قرنطینه کردن باج‌افزار است. این امر می‌تواند از حملات شرق به غرب جلوگیری کند، همان جایی که باج‌افزار، از طریق اتصالات شبکه‌ی آن‌ها، از یک دستگاه به دستگاه دیگر پخش می‌شود. ابتدا باید سیستمی را که آلوده شده است خاموش کرد، چراکه خاموش کردن آن از مورد استفاده قرار گرفتن آن توسط بدافزار برای گسترش بیشتر باج‌افزار جلوگیری خواهد کرد.

گام بعدی در شناسایی Ransomware چیست؟ همچنین باید کابل‌های شبکه‌ی متصل به دستگاه را جدا کنید. این شامل هر چیزی است که دستگاه آلوده را به خودِ شبکه یا دستگاه‌های موجود در شبکه متصل می‌کند. برای مثال، ممکن است دستگاه شما به پرینتری متصل باشد که خود به شبکه محلی، local-area network یا LAN متصل است. قطع کردن پرینتر می‎تواند جلوی استفاده از آن برای انتشار باج‌افزار را بگیرد.

ارزیابی میزان آسیب‌پذیری امنیت سازمان نسبت به باج‌افزار با راهکار اسپلانک

ویدیوهای بیشتر درباره باج افزار

علاوه بر کابل‌های سخت‌افزاری، شما همچنین باید Wi-Fiای را، که به منطقه‌ی آلوده به باج‌افزار سرویس می‌دهد، خاموش کنید. اتصال به Wi-Fi می‌تواند به عنوان کانالی برای گسترش باج‌افزار به سایر دستگاه‌های متصل به همان شبکه‌ی Wi-Fi استفاده شود. خاموش کردن Wi-Fi می‌تواند این نوع گسترشِ شرق به غرب را، پیش از شروع آن، متوقف کند. با این حال، اگر فرآیند گسترش، تا زمانی که متوجه شوید کامپیوتر شما آلوده شده است، شروع شده باشد، قطع کردن Wi-Fi می‌تواند از گسترش بیشتر آن جلوگیری کند.

دستگاه‌های ذخیره‌سازی با همان Storage متصل به شبکه نیز باید فوراً قطع شوند. Ransomware چیست؟ باج‌افزار به طور بالقوه می‌تواند دستگاه ذخیره‌سازی را پیدا کرده و سپس آن را آلوده کند. اگر این اتفاق بیافتد، ممکن است هر دستگاهی که به سیستم ذخیره‌سازی متصل می‌شود آلوده شود. این اتفاق ممکن است بلافاصله پس از حمله یا در نقطه‌ای از آینده رخ دهد. بنابراین، اگر سازمانی قربانی یک حمله‌ی باج‌افزار شد، باید فرض کرد تمام دستگاه‌های ذخیره‌سازی آلوده شده است و قبل از اجازه دادن به دستگاه‌های موجود در شبکه برای اتصال به آن‌ها، آن‌ها را تمیز کرد.

بیشتر بخوانید: ارائه راهکارهای مهم برای پیشگیری از حملات باج‌افزار  قسمت اول

شناسایی کردن بدافزار

گام بعدی شناسایی نوع بدافزار مورد استفاده، برای آلوده کردن سیستم سازمان با باج‌افزار، است. در برخی موارد، دانستن نوع بدافزار مورد استفاده می‌تواند به تیم واکنش به رخداد کمک کرده تا راه‌حلی پیدا کنند. کلیدهای رمزگشایی برخی از حملات باج‌افزار از پیش شناخته شده‌اند و دانستن نوع بدافزار مورد استفاده می‌تواند به تیم واکنش کمک کند تا بفهمند آیا کلید رمزگشایی از قبل موجود است یا خیر. اگر کلید موجود باشد، آن‌ها می‌توانند از آن برای باز کردن قفل سیستم شما استفاده کنند و هدف مهاجم را دور بزنند.

شرکت APK نخستین شرکت دانش محور در اجرای پروژه های انفورماتیکی کشور    تماس با کارشناسان 021-88539044-5

آگاهی از نوع بدافزار، ممکن است به تعیین راه‌های دیگر برای مقابله با تهدید کمک کند. برای دانستن گزینه‌های موجود برای ترمیم و پاکسازی، تیم فناوری اطلاعات یا مشاوران خارج از سازمان باید بدانند با چه نوع بدافزاری سروکار دارند؛ که این امر شناسایی زودهنگام را به گامی مهم تبدیل می‌کند.

برای مشاوره رایگان جهت (باز)طراحی امنیت شبکه و یا انجام تست نفوذ مطابق با الزامات افتا با کارشناسان شرکت APK تماس بگیرید.

حذف بدافزار

کاملاً بدیهی است که باید بدافزار را حذف کردد، اما زمان‌بندی این مرحله از لزوم آن نیز مهم‌تر است، حتماً باید پس از انجام مراحل قبلی، یعنی قرنطینه و شناسایی، سعی به حذف بدافزار کرد. مثلاً، اگر سازمان سعی کرد بدافزار را پیش از قرنطینه حذف کند، ممکن است بدافزار، از زمانی که برای حذف آن استفاده می­شود، در جهت گسترشِ خود به دستگاه‌های دیگر متصل به شبکه استفاده کند.

بیشتر بخوانید: محافظت از داده‌های حیاتی در برابر بدافزار و باج‌افزار در Mictosoft 365 – قسمت اول

همچنین، اگر بدافزار را پیش از شناسایی آن حذف کنید، ممکن است فرصت جمع‌آوری اطلاعات درباره‌ی آن را از دست بدهید؛ اطلاعاتی که می‌تواند برای تیم واکنش به رخداد، مشاوران یا مجریان قانون مفید باشد. پس از انجام مراحل قبلی، حذف بدافزار می‌تواند از گسترشِ آن به دستگاه‌های دیگر جلوگیری کند. حتی اگر سیستم به شبکه نیز متصل نباشد، در صورت عدم حذف بدافزار، ممکن است آن در آینده به سایر دستگاه‌ها گسترش یابد.

منظور از بازیابی داده‌هابعد از حمله Ransomware چیست؟

به محض اینکه حمله متوقف و کامپیوتر امن و تمیز شد، باید بازیابی داده‌های خود را شروع کنید. این کار می‌تواند به اطمینان از تداوم کسب و کار و پیشرفتِ خودترمیمی شما کمک کند، به خصوص اگر اخیراً از داده‌ها نسخه‌ی پشتیبان تهیه شده باشد.

بازیابی موفقیت‌آمیز داده‌ها به وجود برنامه‌ی بازیابی داده‌‌ بستگی دارد که قبل از حمله اجرا شده است. برای مثال، اگر چندین بار در روز از داده‌ها نسخه‌ی پشتیبان تهیه شود، یک حمله، در بدترین حالت، سازمان را فقط چند ساعت به عقب برمی‌گرداند. می‌توان از سرویس‌های مبتنی بر کلود یا سرویس‌های سخت‌افزارهای on-premises محلی برای پشتیبان‌گیری از داده‌ها استفاده کرد، تا خدماتی که کاربر استفاده می‌کند از دستگاه‌های دیگر نیز قابل دسترسی باشد. اطمینان از دسترسی ممکن است نیازمند ذخیره‌ی امن اطلاعات مربوط به ورود به سیستم روی سایر دستگاه‌ها نیز باشد.

هرگز باج پرداخت نکنید

هنگامی که یک حمله‌ی Ransomware انجام می‌شود، پرداخت باج می‌تواند وسوسه انگیز باشد. یک کاربر ممکن است به این نتیجه برسد که با گذشت زمان بیشتر از آنچه مهاجم می‌خواهد پول از دست می‌دهد و ضرر می‌کند. برای مثال، اگر سیستم‌های مهم تعطیل شوند و کاربران نتوانند خرید کنند، مقدار زیان‌ ممکن است به هزاران دلار ‌برسد. و اگر مهاجم چند صد دلار از شما باج بخواهد، ممکن است احساس کنید که پرداخت باج کار عاقلانه‌ای است؛ درصورتی که اصلاً این چنین نیست.

دلیل نیاز هکرها به Ransomware چیست؟

هکرها مانند هواپیماربایان و تروریست‌هایی که انسان‌ها را اسیر می‌کنند، به حملات باج‌افزاری وابسته هستند و با موفقیت از قربانیان اخاذی می‌کنند. اگر کاربران زیادی از پرداخت باج امتناع کنند، مهاجمان ممکن است قبل از استفاده از باج افزار کمی فکر کنند و انرژی خود را در یک موقعیت بالقوه‌ی سودآورتر سرمایه گذاری کنند. بنابراین، وقتی شما از پرداخت باج امتناع می‌کنید، در واقع به کسانی که ممکن است در آینده هدف قرار گیرند کمک می‌کنید. همچنین، با یک بار پرداخت باج، مهاجمان می‌فهمند که در صورت مواجهه با وضعیت مشابه، احتمالاً دوباره باج خواهید داد. بنابراین با این کار، ممکن است خود را به عنوان یک هدف بالقوه‌ی سودآور برای حملات آینده معرفی کنید.

چه زمانی باید باج پرداخت کنید و چه زمانی نباید پرداخت کنید

به طور کلی، هرگز نباید باج پرداخت کنید. پرداخت باج در واقع به مهاجم می‌گوید که می‌تواند با اخاذی از شما فرار کند و بعداً برای حمله‌ی دوم برگردد. این کار به دیگران نیز آسیب می‌رساند، چراکه به جامعه‌ی هکرها پیام می‌دهد که Ransomwareهمچنان یک بردار حمله‌ی مؤثر است. همچنین، به خاطر داشته باشید که پس از پرداخت باج، هیچ تضمینی وجود ندارد که مهاجم به شما اجازه‌ی بازگشت به سیستم‌تان را بدهد.

با این حال، «نه» گفتن و عدم پرداخت باج آنقدرها هم آسان نیست؛ علی‌الخصوص زمانی که شما یک برنامه‌ی پشتیبان یا ترمیم خودکار مناسب نداشته باشید. در حالی که پرداخت باج هرگز توصیه نمی‌شود، ممکن است بخواهید قبل از تصمیم‌گیری نهایی، عواقب آن را بسنجید. عواملی که باید آن‌ها را در نظر بگیرید عبارتند از:

  1. بازیابی اطلاعات از دست رفته چقدر هزینه دارد؟
  2. هزینه‌ی بازسازی سیستم‌هایی که در اثر حمله از بین رفته اند چقدر است؟
  3. احتمال رمزگشایی سیستم‌ها، پس از پرداخت، توسط اپراتور باج افزار خاصی که شما را هدف قرار داده چقدر است؟

چگونه Fortinet می‌تواند کمک‌کننده باشد

پلتفرم Fortinet Security Fabric طیف گسترده‌ای از محصولات و خدمات را ارائه می‌دهد که می تواند در سراسر سطح حمله‌ی دیجیتال و در امتداد زنجیره‌ی کشتار سایبری به منظور کاهش خطر و تأثیرات احتمالی Ransomware استفاده شود. این خدمات می‌توانند به سازمان‌ها کمک کنند تا برای حوادث مربوط به باج‌افزار آماده شوند و از آن جلوگیری کنند؛ در صورت وقوع آن‌ها را شناسایی کرده و به آن‌ها واکنش نشان دهند؛ و در صورت نیاز تیم‌های داخلی را تقویت کنند. وضعیت فعلی هر سازمان، تمایل آن‌ها به خطرکردن، وضعیت صدور مجوز، مهارت‌های امنیتی و عوامل دیگر تعیین می‌کند که کدام محصولات و خدمات، در هر زمانِ معین، مناسب‌ترین گزینه هستند.

مقاله های مرتبط:

ارائه راهکارهای مهم برای پیشگیری از حملات باج‌افزار – قسمت اول

مطلب مفید بود؟

 
بیشتر بخوانید