باج افزار Avaddon چیست و چگونه می توان در برابر آن امنیت سازمان را تامین کرد؟ – قسمت دوم (پایانی)

در قسمت اول مقاله در مورد 7 فعالیت باج افزار Avaddon در شبکه توضیح دادیم و کر کدام را بررسی کردیم در ادامه چند مورد دیگر از این فعالیت ها را توضیح خواهیم داد.

 8. مهاجمان سعی کرده‌اند شناسایی کنند که چه راه‌حل امنیتی در شبکه استفاده می‌شود و آیا می‌توانند آن را غیرفعال کنند.

اگر مهاجم بتواند آن را خاموش کند دیگرمهم نیست که سطح محافظت شما چقدر خوب است.ابزارهای پیش‌فرض رایگان، مانند Windows Defender، می‌توانند فوراً توسط هرکسی که دسترسی کافی در سطح مدیریت را داشته باشد غیرفعال شوند.اکثر باج افزارهای مدرن به‌طور پیش‌فرض سعی می‌کنند این کار را انجام دهند.مهاجمان همچنین سعی می‌کنند راه‌حل‌های امنیتی پیشرفته‌تری را به دست آورند تا به کنسول‌های مدیریتی دسترسی پیدا کنند تا درست قبل از راه‌اندازی باج‌گیری، تمام حفاظت‌ها را غیرفعال کنند.

کنسول‌های مدیریت امنیتی که به‌صورت محلی میزبانی می‌شوند به‌طور ویژه در معرض خطر هستند زیرا مهاجمان می‌توانند با حساب‌هایی که قبلاً در معرض خطر قرار داده‌اند به آن‌ها دسترسی داشته باشند.

9. مشهودترین بخش حمله – انتشار باج افزار احتمالاً زمانی رخ داد که هیچ‌یک از مدیران فناوری اطلاعات یا متخصصان امنیتی آنلاین نبوده‌اند تا متوجه روند طولانی رمزگذاری فایل شوند و از آن جلوگیری کنند، احتمالاً در نیمه‌های شب یا در آخر هفته.

توجه: فرآیند رمزگذاری ساعت‌ها طول می‌کشد.یک endpoint رمزگذاری شده ویندوز ده‌ها یا صدها هزار فایل رمزگذاری شده خواهد داشت  تا زمانی که باج افزار فعال شود.برای سرورهای با فایل بزرگ، این ممکن است حتی به میلیون‌ها فایل برسد. به همین دلیل است که بیشتر حملات باج افزار هدفمند در نیمه‌شب، در تعطیلات آخر هفته یا در تعطیلات، زمانی که افراد کمتری نظارت می‌کنند، انجام می‌شود.تا این لحظه مهاجمان سعی می‌کردند پنهان بمانند، اما در اینجا تاکتیک آن‌ها تغییر می‌کند.آن‌ها از شما می‌خواهند که بدانید آن‌ها آنجا حضور دارند و چه‌کاری انجام داده‌اند.آن‌ها از می‌خواهند تا مشخص شود چه مقدار داده ازدست‌رفته است و فهمیده شود که شخصی این کار را به‌صورت مخرب انجام داده است و اکنون آن‌ها برای رمزگشایی داده‌ها مبلغی می‌خواهند.به همین دلیل است که تقریباً در تمام حملات باج‌گیری، فایل‌های رمزگذاری شده دارای یک نام پسوند جدید در انتهای فایل خواهند بود.برای مثال، «MyReport.docx» ممکن است به «MyReport.docx.encrypted» تبدیل شود.یادداشت‌های باج افزار اغلب به‌طور برجسته در مکان‌های مختلف نمایش داده می‌شوند که بر هرج‌ومرج و استرس می‌افزاید.

10. باج افزار در تمام endpoint ها و هر سروری که در زمان حمله آنلاین بوده است مستقر می‌شود.

درواقع این چیزی است که مهاجم می‌خواسته به این شکل باشد.باج افزار مانند یک برنامه معمولی “مستقر” می‌شود. در اکثر حملات به‌طور تصادفی در همه جهات پخش نمی‌شود.اگر سرورها رمزگذاری شده بوده‌اند، اما endpoint ها نه، به این دلیل است که مهاجم فقط سرورها را هدف قرار داده است.باج افزار را می‌توان بهروش‌های مختلفی مستقر کرد. در مورد باج افزار Avaddon، مهاجمان احتمالاً وظایف برنامه‌ریزی‌شده‌ای را روی endpoint ها و سرورهای سراسر شبکه ایجاد کرده‌اند که باج‌گیری را در زمان از پیش تعریف‌شده‌ای مستقر کرده است. روش دیگری که معمولاً توسط بسیاری از خانواده‌های باج‌گیری مختلف استفاده می‌شود، ترکیبی از batch script ها و ابزار Microsoft PsExec است که ابزاری عالی برای اجرای دستورها در ماشین‌های ریموت یا کنترل از راه دور هست. یک مهاجم ممکن است یک batch script ایجاد کند که در فهرستی از آدرس‌های IP حلقه‌هایی ایجاد می‌کند و از PsExec برای کپی کردن باج‌گیری در هر دستگاه و سپس اجرای آن استفاده می‌کند.درحالی‌که اکثر راه‌حل‌های امنیتی ازجمله Sophos به‌طور پیش‌فرض PsExec را مسدود می‌کنند، مدیران اغلب استفاده از آن را در شبکه خود مجاز می‌دانند، زیرا آن را مفید می‌دانند – و متأسفانه مهاجمان از این موضوع آگاه‌اند.مهاجمان همچنین می‌توانند یک script ورود به سیستم Group Policy Object یاGPO را ایجاد یا ویرایش کنند. اگر نتوان این مورد را تشخیص داد، هر بار که دستگاهی بوت می‌شود و به دامنه متصل می‌شود، حمله می‌تواند دوباره از نو راه‌اندازی شود.این باعث می‌شود به نظر برسد که باج افزار فقط زمانی که توسط GPO ایجادشده است “گسترش می‌یابد”.

11. راه‌اندازی باج افزار پایان کار نیست.

مهاجمان Avaddon ممکن است از ابزارهایی که قبلاً نصب‌کرده‌اند برای ماندن در شبکه و نظارت بر وضعیت حتی ارتباطات ایمیل استفاده کنند تا ببینند چگونه به انتشار باج‌گیری پاسخ داده می‌شود.یک ایمیل به مدیرعامل مبنی بر اینکه مشکلی وجود ندارد زیرا آن‌ها نسخه‌های پشتیبان را در سرور X رمزگذاری نکرده‌اند، اگر مهاجم آن را بخواند و همچنان به آن سرور دسترسی داشته باشد، می‌تواند فاجعه باشد.مهاجم همچنین ممکن است منتظر بماند تا  شرایط بهبود پیدا کند و سپس حمله دوم را انجام دهد و واقعاً تأکید کند که می‌تواند این کار را تا زمانی که باج را پرداخت نشود ادامه دهد.مهاجمان باج افزار Avaddon  تاکتیک دیگری برای تحت‌فشار قرار دادن اهداف برای پرداخت دارند: آن‌ها یک حمله DDoS را در تلاش برای ایجاد اختلال در عملیات و ارتباطات انجام می‌دهند.

12. زمان صرف شده در شبکه احتمالاً به مهاجمان این امکان را می‌دهد که اطلاعات مهم، حساس و محرمانه تجاری را که اکنون تهدید به افشای عمومی آن‌ها می‌کنند، سرقت کنند.

اهدافی که توسط شرکت‌های وابسته Avaddon مورد اصابت قرارگرفته‌اند با خطر انتشار داده‌های خود در سایتی با دسترس عمومی تهدید می‌شوند، مگر اینکه باج را پرداخت کنند.برخی از داده‌های باارزش‌تر را می‌توان به مهاجمان دیگر فروخت تا در حملات بعدی از آن‌ها استفاده کنند.

مهاجمان Avaddon ادعا می‌کنند که در صورت عدم تماس از طرف قربانی یا شکست مذاکرات، از چند روز تا یک هفته پس از حمله اصلی، انتشار داده‌های سرقت شده را آغاز خواهند کرد.آن‌ها معمولاً با انتشار حدود 5 درصد از داده‌هایی که ادعا می‌کنند در اختیاردارند شروع می‌کنند.بااین‌حال، ممکن است چندین هفته یا حتی بیشتر طول بکشد تا همه داده‌ها منتشر شود.علاوه بر این، درحالی‌که مهاجمان ممکن است قول بدهند که در صورت پرداخت، اطلاعات را حذف کنند، هیچ تضمینی وجود ندارد که این کار را انجام دهند.

عملکرد مدافعان

برخی از اقدامات پیشگیرانه وجود دارد که می‌توان برای افزایش امنیت فناوری اطلاعات در آینده انجام داد، ازجمله:

1. امنیت شبکه باید به‌صورت 24 ساعته  مورد نظارت قرار گیرد و از پنج شاخص اولیه که مهاجم برای توقف حملات باج افزار قبل از راه‌اندازی آن دارد آگاهی وجود داشته باشد.

2. برای جلوگیری از دسترسی مجرمان سایبری به شبکه‌ها، پروتکل دسکتاپ از راه دور RDP باید خاموش شوند. اگر نیاز به دسترسی به RDP وجود دارد، باید آن را پشت یک اتصال VPN قرارداد و از تأیید اعتبار چندعاملی MFA استفاده کرد.

3. آموزش کارمندان در مورد مواردی که ازنظر فیشینگ و هرزنامه‌های مخرب باید مراقب باشند و سیاست‌های امنیتی قوی معرفی شوند.

4. پشتیبان منظم از مهم‌ترین و در جریان‌ترین داده‌ها و نگهداری در یک دستگاه ذخیره‌سازی آفلاین . توصیه استاندارد برای پشتیبان گیری این است که از روش 3-2-1 پیروی شود: 3 نسخه از داده‌ها، با استفاده از 2 سیستم مختلف، که 1 نسخه آفلاین است.

5. جلوگیری از دسترسی مهاجمان به امنیت کاربر و غیرفعال کردن آن: باید یک‌راه حل پیشرفته با یک کنسول مدیریتی با میزبانی ابری و با فعال کردن احراز هویت چندعاملی و همچنین Role Based Administration برای محدود کردن حق دسترسی انتخاب شود.

6. باید توجه داشت که هیچ راه‌حل سریع و مؤثری برای محافظت وجود ندارد و وجود یک مدل امنیتی لایه‌ای و دفاعی ضروری است – باید آن را به تمام نقاط پایانی و سرورها گسترش داده و اطمینان حاصل شود که می‌توانند داده‌های مربوط به امنیت را به اشتراک بگذارند.

7. باید یک برنامه واکنش مؤثر به حادثه وجود داشته باشد و در صورت نیاز آن را به‌روزرسانی کرد. اگر این اطمینان وجود ندارد که مهارت‌ها یا منابع لازم برای انجام این کار، نظارت بر تهدیدها یا واکنش به حوادث اضطراری را مهیا است، برای کمک باید از متخصصان خارجی یاری گرفته شود.

می توان نتیجه گرفت که مقابله با یک حمله سایبری یک تجربه استرس‌زا است. پاک کردن فوری تهدید و بستن موضوع در مورد حادثه می‌تواند وسوسه‌انگیز باشد، اما حقیقت این است که با انجام این کار بعید است که تمام آثار حمله را از بین برود.مهم است که برای شناسایی نحوه ورود مهاجمان، درس گرفتن از اشتباهات و بهبود امنیت وقت گذاشته شود.اگر این کار را صورت نپذیرد، همواره این خطر را وجود دارد که همان مهاجم یا مهاجم دیگری بیاید و هفته آینده دوباره این کار را با انجام دهد.

مقاله های مرتبط: