باجافزار ExPetr به طور جدی سازمانها را مورد هدف قرار می دهد
ایتنا- به راستی چرا سیستم های حیاتی کسب و کارها مورد اصابت مستقیم بدافزارهای رمزنگار قرار میگیرند؟
سه شنبه شب و چهارشنبه صبح کل جهان شاهد نژاد جدیدی از بدافزارهای رمزنگار بود. کارشناسان ما اینگونه از بدافزار را ExPetr ( برخی دیگر آن را Petya، PetrWrap و اسمهای دیگر) مینامند. تفاوت کلیدی این باجافزار جدید در این زمان این است که مجرمان پشت این حمله، اهداف خود را با دقت بیشتری انتخاب کرده اند: اکثر قربانیان این حمله سازمانها و کسبوکارها هستند و نه کاربران معمولی.
به گزارش ایتنا از کسپرسکی آنلاین، بدترین خبر این است که مجرمان زیرساختهای مهم و حیاتی سازمانها را مورد حمله مستقیم خود قرار دادهاند و به بیانی سادهتر بخواهیم بگوییم آن ها را نابود کرده اند. به عنوان مثال، در روز حمله چند پرواز در اوکراین به تاخیر افتاد. اما به راستی چرا سیستم های حیاتی کسب و کارها مورد اصابت مستقیم بدافزارهای رمزنگار قرار میگیرند؟ دلیل آن کاملا واضح است، به این خاطر است که زیرساختها به طور مستقیم به شبکه شرکتها متصل هستند و یا به طور مستقیم به اینترنت دسترسی دارد.
چه کاری باید انجام دهیم؟ درست همانند واناکرای، ما دو مشکل علنی داریم: نفوذ بدافزارها به زیرساختهای شرکتها و گسترش آنها. این دو مشکل باید به طور جدی مورد توجه قرار بگیرد.
نفوذ اولیه کارشناسان ما مسیرهای مختلفی را نشان میدهند که بدافزارها به شبکه نفوذ میکنند. در برخی از موارد مجرمان از سایتهای مخرب استفاده میکنند و کاربران بدافزارها را به عنوان آپدیت نرمافزارها دریافت میکنند. در موارد دیگر، آلودگیها از طریق آپدیتهای نرمافزارهای شخص سوم گسترش مییابند. به عنوان مثال از طریق نرمافزار حسابداری اوکراین به نام M.E.Doc این آلودگی گسترش یافت. به عبارت دیگر نمیتوان هیچ پیشبینی قوی را برای محافظت در برابر بدافزارها در نظر گرفت. ما برای جلوگیری از ورود بدافزارها به زیرساختها توصیههایی داریم که به شرح زیر است: • کارمندان خود را برای بازنکردن فایلهای مشکوک و کلیک نکردن بر روی لینکهای مشکوک آموزش دهید. ( شاید این راهی پیش و پا افتاده باشد، اما باید دانست که در شرکتها همچنان به کرات این بیدقتی دیده میشود).
• اطمینان حاصل کنید که تمام سیستمهای متصل به اینترنت شما به راهکارهای امنیتی که تمام قدمهای آنلاین شما را آنالیز میکند، مجهز است.
• بررسی کنید که اجزای مهم راهکارهای امنیتی شما فعال باشند. (در رابطه با راهکارهای امنیتی لابراتوار کسپرسکی اطمینان و امنیت در سیستم واچر و امنیت شبکه آن خلاصه میشود).
• راهکارهای امنیتی خود را به روز نگه دارید.
لابراتوار کسپرسکی برای حفاظت بیشتر ابزار رایگانی را ( حتی برای کسانی که از راهکارهای امنیتی لابراتوار کسپرسکی استفاده نمیکنند) سازگار با اکثر راهکارهای امنیتی منتشر کرده است که بهوسیله آن میتوانید در برابر بدافزارها محافظت شوید.
ترویج در شبکه هنگامی که تله مجرمان در دو باج افزار در یک سیستم واحد مقایسه میشود، ExPetr بسیار قویتر از واناکرای در یک شبکه محلی گسترش مییابد. دلیل این قوی بودن، طیف گستردهای از قابلیتها است که برای این هدف خاص در نظر گرفته شده است. اول اینکه این بدافزار از دو اکسپلویت استفاده میکند: یک EternalBlue اصلاح شده ( که در واناکرای هم مورد استفاده قرار گرفت) و EternalRomance ( اکسپلویتی دیگر از TCP پورت ۴۴۵). دوم اینکه زمانی که بدافزار یک سیستمی که کاربر آن دارای امتیازات مدیریتی است را آلوده میکند، بدافزار با استفاده از تکنولوژی مدیریت ویندوز یا ابزار کنترل از راه دور PsExec خود را منتشر میکند.
برای جلوگیری از انتشار تروجانها به شبکهها ( به ویژه در سیستمهای حیاتی سازمان) میبایستی: • سیستمهایی که به اتصال اینترنت فعال در یک بخش مجزا نیاز دارند را جدا کنید. • شبکههای باقی مانده را در سابنتها یا ساب نت های حقیقی را با اتصالات محدود از هم جدا کنید، تنها اتصالاتی که به فرآیندهای تکنولوژی نیاز دارند.
• اطمینان حاصل کنید که آپدیتهای مهم ویندوز را انجام داده اید. در این حمله آپدیت بیش از حد اهمیت دارد. MS17-010 closes آسیبپذیری است که توسط EternalBlue و EternalRomance اکسپلویت میشود.
• سرورهای بک آپ را از دیگر سرورها جدا کنید و از اتصال از راه دور درایوها در سرورهای پشتیبان ( بک آپ) خودداری کنید.
• مانع اجرای فایلهایی با نام perfc.dat شوید. شما میتوانید با استفاده از اپلیکیشنهایی که مانع باز شدن چنین فایلهایی میشوند، همانند ویژگی کنترل در راهکار امنیتیاند پوینت کسپرسکی برای بیزینسها یا ابزار AppLocker system در ویندوز، استفاده نمایید.
• برای زیرساخت های خود از راهکارهایی همانند Kaspersky Embedded Security Systems استفاده کنید.
• حالت پیش فرض Deny mode را به عنوان یک محافظت اضافی در سیستمهایی که امکانپذیر است، فعال کنید.
مثل همیشه، ما مصرانه توصیه میکنیم از یک راهکار امنیتی چند لایه، که شامل ویژگی آپدیت خودکار ( مخصوصا برای سیستم عامل)، ویژگی آنتی باجافزار و البته یک جزئی است که بر تمام فعالیتهای سیستم عامل نظارت دارد، استفاده کنید.
باج را بپردازیم یا نپردازیم؟ در نهایت اگرچه ما همیشه به کاربران و قربانیان توصیه میکنیم که هیچ مبلغی را برای باج به مجرمان نپردازند، اما گاهی اوقات متوجه میشویم که برخی از شرکتها در زمان حمله احساس می کنند که هیچ راهی برای انتخاب ندارند. در هر صورت اگر اطلاعات شما توسط باجافزار جدید ExPetr قفل و تحت تاثیر قرار گرفته است، به هیچ وجه نباید به مجرمان باج پرداخت کنید.
کارشناسان ما دریافتهاند که این بدافزار هیچ مکانیزمی برای ذخیره شناسه نصب (installation ID) ندارد. بدون این شناسه، افراد مورد تهدید نمی توانند اطلاعات ضروری مورد نیاز برای رمزگشایی را استخراج کنند. سادهتر بخواهیم توضیح دهیم، آنها به سادگی قادر به کمک برای بازیابی فایلهای قربانیان نخواهند بود.