باج افزار Avaddon چیست؟ درواقع باج افزار Avaddon یک باج افزار تحت عنوان یک سرویس RaaS است که رمزنگاری را با سرقت اطلاعات و اخاذی کردن ترکیب میکند. باج افزار Avaddon از سال 2019 وجود داشته است اما از ژوئن 2020 قویتر و تهاجمیتر شده است. این باج افزار در طیف وسیعی از اهداف مجرمانه در کشورهای مختلف مستقر شده و اغلب از طریق spamهای مخرب و فیشینگ صورت میپذیرد که فایلهای جاوا اسکریپت به دام افتاده را جابجا میکنند.
سازمانهایی که توسط باج افزار Avaddon آسیب میبینند، با چیزی فراتر از رمزنگاری دادهها روبرو میشوند همچنین خطر افشای اطلاعات عمومی در سایت اسناد درز پیداکرده Avaddon وجود دارد و اخیراً، خطر حملات distributed denial of service یا DDoS که عملیات را مختل میکند نیز به وجود آمده است. این تاکتیکها برای افزایش فشار بر قربانیان و دریافت باج درخواستی طراحیشدهاند.اطلاعات زیر ممکن است به مدیران حوزه فناوری اطلاعات در مواجهه با تأثیر حمله با باج افزار Avaddon کمک کند.
مراحل مقابله با باج افزار Avaddon چیست؟
مهار و خنثیسازی کردن
اولین کاری که باید انجام داده شود این است که مشخص شود آیا حمله هنوز در جریان است یا خیر
اگر مشکوک هست که حمله وجود دارد و ابزار لازم برای متوقف کردن آن موجود نیست، باید مشخص شود کدام دستگاهها تحت تأثیر قرارگرفتهاند و فوراً آنها را جداسازی کرد. سادهترین گزینه این است که بهسادگی کابل شبکه را جدا کرده یا آداپتور Wi-Fi را خاموشکنیم. اگر آسیب واردشده بیشتر از چند دستگاه را هدف قرار داده است، این کار باید در سطح سوئیچ انجام شود و بهجای دستگاههای جداگانه، کل بخشهای شبکه آفلاین شوند. درصورتیکه این امکان وجود ندارد تا شبکه قطع شود، باید دستگاهها بهطورکلی خاموش شوند.
باید آسیب را ارزیابی کرد
کدام endpointها، سرورها و سیستمعاملها تحت تأثیر قرارگرفتهاند، چه چیزی ازدسترفته است؟ آیا نسخههای پشتیبان گیری شده هنوز سالم هستند یا مهاجم آنها را حذف کرده است؟ اگر آنها سالم هستند، فوراً باید یک کپی آفلاین از آنها تهیه شود.همچنین کدام ماشینها محافظتشدهاند؟ آنها در بازگرداندن شرایط به حالت عادی خود بسیار مهم خواهند بود.
آیا طرح جامع واکنش به حوادث موجود هست؟
اگر اینچنین نیست، باید مشخص شود چه کسانی باید در برخورد با این حادثه دخیل باشند. مدیران فناوری اطلاعات و مدیریت ارشد موردنیاز خواهند بود، اما ممکن است لازم باشد کارشناسان امنیتی خارجی نیز آورده شوند، باید با بیمه سایبری و مشاور حقوقی نیز مشورت شود.آیا باید حادثه به مجریان قانون گزارش داده شود / و یا به مقامات حفاظت از دادهها اطلاعرسانی شود؟همچنین این سؤال وجود دارد که چه اطلاعاتی باید به کاربران و ذینفعان داده شود، زیرا بسیار محتمل است که بسیاری از آنها احتمالاً هنگامیکه در محل کار خود حاضر میشوند با یادداشت باجگیری مشابهی روی دسکتاپ خود روبرو شوند.
بیشتر بخوانید: بررسی باج افزار SamSam
در مورد آنچه رخ میدهد با افراد صحبت شود
اما مهاجمان ممکن است در حال استراق سمع باشند، بنابراین نباید از کانالهای معمولی ارتباطی استفاده شود.اگر مهاجمین مدتی در شبکه افراد حضورداشتهاند، بهعنوانمثال، احتمالاً به ایمیلها دسترسی خواهند داشت.
تحقیق کردن
هنگامیکه یک حمله به شکل موفقیتآمیزی مهار و خنثی میشود، باید زمانی را برای بررسی آنچه رخداده است اختصاص داد تا احتمال تکرار آن کاهش یابد.اگر این اطمینان وجود ندارد که این کار صورت بپذیرد، برای پاسخگویی به حادثه و مهار تهدید کمکهای تخصصی 24 ساعته از فروشندگان امنیتی ازجمله SOPHOS در دسترس است. طبق گفته گروه واکنش سریع SOPHOS، این چیزی است که باید از فعالیت باج افزار Avaddon در شبکه انتظار داشت:
منظور از فعالیت باج افزار Avaddon در شبکه چیست؟
1. مهاجمان بهاحتمالزیاد چند روز یا حتی چند هفته در شبکه موردنظر حضورداشتهاند
Avaddon یک Ransomware-as-a-Service است که شامل استخراج دادهها میشود.این کار توسط وابستگان انسانی اداره میشود که سهمی از هرگونه سود و باج به دست میآورند.سازمان های وابسته برای یافتن و سرقت دادههایی که ارزش بالایی دارند و اطمینان از حداکثر اختلال، برای کاوش در شبکه هدف زمان میگذارند، زیرا این امر آنها را قادر میسازد تا باجهای سنگینتری را دریافت کنند. پاسخدهندگان حوادث SOPHOS در حملاتی که شامل انتشار باجگیری Avaddon میشد، زمان حضور متجاوزان رابین 10 تا 28 روز مشاهده کردهاند.
2. مهاجمان میتوانند از انواع روشهای مختلف برای نفوذ به یک شبکه استفاده کنند
روشهای دسترسی اولیه شناختهشده برای باجگیری Avaddon شامل کمپینهای هرزنامهای که فایلهای مخرب جاوا اسکریپت را ارائه میکنند، خدمات RDP یا پروتکل دسکتاپ از راه دور و شبکههای مجازی خصوصی آسیبپذیر یا VPN را شامل میشود. سایتهایی مانند Shodan.io بینشی در مورد آنچه مهاجم میتواند در مورد شبکهها بیابد، ارائه میکند. بهتر است از آن برای جستجوی آدرسهای IP خارجی استفاده شود. مهاجمان Avaddon هر دو سیستم ویندوز و لینوکس را هدف قرار میدهند.
بیشتر بخوانید: استفاده از ویژگیهای VMware vSphere در حذف باج افزار
3. آنها دسترسی ایمن بهحسابهای مدیریت دامنه و همچنین سایر حسابهای کاربری خواهند داشت.
مهاجمان معمولاً چندین حساب را در طول یک حمله به خطر میاندازند. هدف اصلی آنها دسترسی بهحساب های مدیریت دامنه است که میتوانند برای راهاندازی باج افزارها مورداستفاده قرار گیرند. بااینحال، آنها همچنین حسابهای مدیریتی خاصی را هدف قرار میدهند که به دادههای حساس، سیستمهای پشتیبان گیری و کنسولهای مدیریت امنیت دسترسی دارند. مهاجمان Avaddon از ابزارهایی مانند Mimikatz برای سرقت اعتبارسنجی دسترسی به اکانت و افزایش سطح دسترسی پس از ورود به شبکه استفاده میکنند. Mimikatz میتواند اطلاعاتی را از فرآیند در حال اجرا Microsoft LSASS.exe که حاوی نامهای کاربری/ رمز عبور کاربرانی است که در بهتازگی واردشدهاند، دریافت کند. گاهی اوقات مهاجمان این کار را رها میکنند و سپس عمداً چیزی را در دستگاه مختل میکنند تا مورد هدف قرارگرفته و مدیر را تحریک کنند تا برای رفع آن وارد سیستم شود.سپس مهاجمان میتوانند اعتبارسنجی آن مدیر را بدزدند.
برای مشاوره رایگان جهت (باز)طراحی امنیت شبکه و یا انجام تست نفوذ مطابق با الزامات افتا با کارشناسان شرکت APK تماس بگیرید. |
اگر Mimikatz توسط نرمافزار امنیتی مسدود شود، مهاجمان ممکن است در عوض از چیزی مانند Microsoft Process Monitor برای حذف حافظه LSASS.exe استفاده کنند و آن فایل dump را به دستگاه خود برگردانند تا اطلاعات را با Mimikatz استخراج کنند. با Mimikatz طولانی یا پیچیده بودن رمزهای عبور مهم نیست زیرا آنها را مستقیماً از حافظه استخراج میکند
4. آنها شبکه را اسکن کردهاند
آنها میدانند چند سرور و Endpoint وجود دارد و پشتیبان گیریها، دادههای حیاتی تجاری و برنامههای کاربردی در کجا نگهداری میشوند. یکی از اولین کارهایی که مهاجمان هنگام ورود به یک شبکه انجام میدهند، شناسایی این امر است که چه نوع دسترسی به ماشین محلی دارند. قدم بعدی این است که بفهمند چه ماشینهایی ریموت یا از راه دور وجود دارند و آیا میتوانند به آنها دسترسی داشته باشند.
اپراتورهای باجگیری Avaddon، مانند بسیاری دیگر از مهاجمان کیبورد دستی، از RDP برای حرکت جانبی داخلی در داخل شبکه استفاده میکنند و از آن برای دسترسی به سرورها و رایانههایی که داراییهای باارزش بالا دارند، استفاده میکنند.
. 5 مهاجمان احتمالاً Backdoorها را دانلود و نصبکردهاند که به آنها اجازه میدهد در شبکهها بیایند و بروند و ابزارهای اضافی را در آنجا نصب کنند. آنها پوشهها و دایرکتوریهایی را برای جمعآوری و ذخیره اطلاعات و کانالهای دزدیدهشده برای برقراری ارتباط با مهاجمان و انتقال اطلاعات به خارج از شبکه تنظیم خواهند کرد.
Backroomها در اشکال مختلفی وجود دارند. برخی از آنها فقط با آدرس IP مهاجم ارتباط برقرار میکنند و به آنها اجازه میدهند دستورها را به دستگاه ارسال و دریافت کنند. بسیاری از Backdoorها بهعنوان برنامههای کاربردی قانونی طبقهبندی میشوند. بهعنوانمثال، مهاجمان ممکن است از ابزارهای مدیریت از راه دور مانند RDP برای حفظ دسترسی استفاده کنند.حتی اگر RDP بهطور پیشفرض غیرفعال باشد، برای مهاجمی که دسترسی ادمین به دستگاه را دارد بسیار آسان است که آن را دوباره فعال کند.یکی دیگر از ابزارهای قانونی رایج مورداستفاده AnyDesk است.این امر به مهاجمان کنترل مستقیم دستگاه، ازجمله کنترل روی ماوس/صفحهکلید و توانایی دیدن صفحهنمایش را ارائه میدهد. اپراتورهای Avaddon به استفاده ازCobalt Strik شناخته میشوند که یک ابزار پیشرفته برای آزمایش پس از بهرهبرداری هست. مهاجمان اغلب تلاش میکنند تا یک Cobalt Strike ،Beacon ایجاد کنند. این اجازه میدهد تا ارتباط منظم به سرور Cobalt Strike “فرمان و کنترل” برای حمله Avaddon بازگردد و به مهاجمان کنترل کامل ماشین را میدهد. همچنین میتوان از آن برای استقرار آسان Beaconهای بیشتر در سایر ماشینهای داخل شبکه استفاده کرد.
6 .علاوه بر رمزنگاری دادهها و اختلال در نرمافزار و عملیات، اپراتورهای Avaddon سعی خواهند کرد تا قبل از رویداد اصلی باج افزار، دادههای سازمان را استخراج کنند.
پاسخدهندگان حادثه که حملات مربوط به Avaddon را بررسی کردند دریافتند که اپراتورها از ابزار بایگانی WinRar برای جمعآوری دادهها برای استخراج استفاده کرده و سپس دادهها را با استفاده از برنامه MegaSync خود از ارائهدهنده ذخیرهسازی ابری www.Mega.nz استخراج کردهاند. مگا در بین مهاجمان محبوب است زیرا سطحی از ناشناس بودن را به آنها ارائه میدهد.
7. آنها سعی کردهاند نسخههای پشتیبان را رمزگذاری، پاک، بازنشانی یا حذف کنند. مگر اینکه نسخههای پشتیبان بهصورت آفلاین ذخیره شوند، در غیر این صورت در دسترس مهاجمان هستند. یک ” Backup” آنلاین همیشه در دسترس است، درواقع فقط یک کپی دوم از فایل هایی است که منتظر رمزگذاری هستند.
