آخرین حمله جهانی سایبری، که توسط ESET به عنوان Win32 / Diskcoder.C شناسایی شده است، یک بار دیگر حاکی از این واقعیت بزرگ است که سیستم های منسوخ شده و راه حل های امنیتی ناکافی همچنان رایج و خطرناک هستند.
خسارت ناشی از این حمله، سؤالاتی را مطرح کرده است که در ادامه برای شما پاسخ خواهیم داد.
ویژگی های این تهدید چیست؟
رمزگذاری: فایل ها فقط با روش رمزگذاری خاصی رمزگذاری می کند، و نسبت به رمزگذاری MBR (Master Boot Record)، که رکورد بوت اصلی است، تلاش می کند. ( که معمولا با موفقیت همراه است).
تکثیر و انتشار: مانند یک کرم، می تواند از طریق شبکه توزیع شود و تجهیزات جدید را آلوده کند.
بهره برداری: این حمله نقاط آسیب پذیر در هر کامپیوتر با وصله های نصب شده و به روز نشده را مورد سوء استفاده قرار می دهد. این چیزی است که از زمان پیدایش WannaCryptor تا به حال مورد بحث قرار گرفته است.
آیا از WannaCryptor قدرتمندتر است؟
هر دو تاثیر مشابهی دارند. از دسترسی به اطلاعات ذخیره شده در یک سیستم جلوگیری می کنند. با این حال، این حمله اطلاعاتی را که در سیستم های آسیب پذیر هستند را رمزگذاری می کند و پس از راه اندازی مجدد سیستم، سیستم عامل را غیر قابل استفاده می کند، بنابراین لازم است سیستم عامل مجددا نصب شود.
آیا این ورژن از Petya به همان شیوه WannaCryptor منتشر می شود؟
بله و خیر. هر دو از بهره برداری NSA که EternalBlue نامیده می شود، استفاده می کنند. با این حال، Win32 / Diskcoder.C تکنیک های انتشار دیگری را با استفاده از ابزار مایکروسافت ویندوز مانند PsExec، که بخشی از مجموعه ابزارهای Sysinternals است و WMIC ( که منبعی برای مدیریت داده ها و عملکرد سیستم های محلی و راه دوری که از سیستم عامل های ویندوزی استفاده می کنند، است)، پیاده سازی می کند.
چه شباهت هایی با Mischa و Petya دارد؟
از جمله دلایل اصلی که سه کد مخرب با هم تشکیل گروه می دهند این است که، سیستم عامل و داده های موجود در آن را توسط رمزگذاری MBR غیر قابل استفاده می کند. به غیر از این، آنها چیزهای مشترک زیادی ندارند هرکدام از آنها فرایندهای مختلف را پیاده سازی و از تکنیک های مختلف استفاده می کنند.
این تهدید دقیقا چه کاری انجام می دهد؟
پس از اجرای نرم افزار مخرب، یک کار برنامه ریزی شده برای راه اندازی مجدد کامپیوتر در یک زمان مشخص ایجاد می کند که معمولا بیش از 60 دقیقه نمی باشد.
علاوه بر این، تأیید می کند که آیا پوشه ها یا دیسک های اشتراکی موجود هستند که بتوانند بدافزارها را انتشار دهند یا خیر. اگر موجود است، از WMIC برای اجرای نمونه در سیستم راه دور استفاده می کند.
پس از آن رمزگذاری فایل هایی با پسوند خاص شروع می شود. تاکید می کنیم که بر خلاف بسیاری ازباج افزارها Win32 / Diskcoder.C پس از رمزگذاری هر فایل فرمت آن را تغییر نمی دهد، که تکنیکی است که به طور گسترده توسط مهاجمان برای تشخیص فایل های آلوده استفاده می شود.
در تصویر زیر می توانید پسوند فایل هایی را مشاهده کنید که بدافزارها تلاش می کنند رمزگذاری کنند:
علاوه بر این، نرم افزار مخرب سعی خواهد کرد که رویدادها را حذف کنند تا ردیابی نشده و همچنین اقدامات خود را پنهان کند. تصویر بعدی فرمان اجرا شده با استفاده از روش فوق را نشان می دهد :
چگونه از یک کشور به دیگری گسترش داده می شود؟
همانطور که قبلا ذكر شد، توزیع و انتشار يك ويژگي برجسته اين تهديد است. هنگامی که کامپیوتر آلوده را مدیریت می کند ، تلاش می کند تا مجوزهای کاربری را استخراج و سپس از PsExec و WMIC برای جستجوی پوشه ها و دیسک های مشترک استفاده کند. سپس آن را از طریق شبکه کامپیوتری گسترش می دهد. به این ترتیب، از این طریق کامپیوترهای موجود در کشورها و مناطق مختلف را آلوده می کند.
در بیشتر موارد، در تیم های شرکت های چند ملیتی که به شبکه ی مشابه با سایر شرکت های وابسته در اروپا یا آسیا متصل بودند شناسایی شد. سپس شیوه گسترش آن به صورت کرم تغییر یافت.
چطور می توان از این تهدید در امان ماند؟
توصیه می کنیم موارد زیر را دنبال نمایید :
راه حل های امنیتی : آنتی ویروس
آنتی ویروسی معتبر بروی سیستم های کامپیوتری منزل و محل کار خود نصب نمایید و از به روزرسانی مرتب سیستم خود اطمینان حاصل نمایید.
همچنین تنظمیات باید به درستی انجام شود . اگر پورتی باز است دلیل آن مشخص باشد مخصوصا پورتهای 135و 139 و 445 n 1025-1035 TCP که برای WMI و PsExec استفاده می شود.
مسدود کردن فایل های EXE
اجرای فایل های EXE درون % AppData% و % Temp% مسدود نمایید. اکانت های Admin $ و یا ارتباط اشتراک Admin $ غیرفعال کنید. چنانچه امکان دارد SMB version 1 را نیز غیرفعال کنید.
نظارت بر شبکه
از تنظیمات دقیق و درست شبکه ی خود مطمئن باشید و به طور مداوم ترافیک شبکه ی خود را برای شناسایی رفتارهای غیرعادی مانیتور کنید.
تهیه فایل پشتیبان از اطلاعات خود
اطلاعات و داده های حیاتی روی سیستم خود شناسایی کنید و از آنها فایل پشتیبان تهیه کنید. با این روش در صورت از دست رفتن اطلاعات و یا رمزگذاری شدن، می توان آنها را بازیابی کرد.
مدیریت رمز عبور
ضروری است که کلمات عبور با دقت مدیریت شوند. اگر از کلمات عبور مشابه برای مراکز مدیریتی مختلف استفاده نمایید این خطر وجود دارد که در صورت آلوده شدن یکی از سیستم های با دسترسی ادمین، کل شبکه آلوده خواهد شد.
برای جلوگیری از این مشکل بهتر است مطمئن باشید که کلمه های عبور نباید در تیم و گروههای مختلف پخش شوند.
در صورت آلوده شدن و عدم دسترسی به سیستم چه باید کرد ؟
امکان استفاده از تکنیک هایی برای تلاش در اجرای سیستم عامل های دیگری در حافظه وجود دارد و به این ترتیب می توان به فایل های رمزگذاری شده دسترسی پیدا کرد. با این وجود، به غیر استفاده از فایل های پشتیبان تقریبا امکان زیاد دیگری برای انجام دادن وجود ندارد که برای جلوگیری از نصب مجدد سیستم عامل ضروری است.
در نهایت اگر فایل پشتیبانی وجود نداشته باشد، ممکن است قربانی وسوسه شود که باج درخواستی مجرمان سایبری را برای پس گرفتن فایل های خود پرداخت نماید، که این راهکارها به دلایل مختلف در مقالات قبلی رد کرده ایم.
مهاجمان چگونه عمل می کنند و آیا آنها انتظار دریافت وجه دارند ؟
نحوه عملکرد مهاجمان متفاوت از آنچه در سایر باج افزارها دیده ایم نیست. یکبار که آلودگی گسترش یافت، مجموعه از دستورالعمل های برای پرداخت باج از طریق بیت کوین نمایش داده می شود. برای مثال در تصویر زیر پرداخت مبلغ 300دلار به عنوان باج درخواست شده است.
چرا سرقت داده ها بسیار رایج شده است ؟
عدم آگاهی، نبودن آموزش های مرتبط در شرکت ها و کمبود مهارت تنها چند دلیل از دلایل شیوع سرقت داده ها هستند. متاسفانه بسیاری از کارکنان از تاثیرات حملات سایبری بالقوه در مدل کسب و کار خود تا زمانی که خودشان گرفتار حمله و یا باج افزاری نشوند، آگاهی ندارند.
براساس سطح دفاعی پایین خطر رویارویی با حملات هم بیشتر خواهد بود. مجرمان سایبری انگیزه و قدرت سو استفاده از نقاط ضعف سیستم ها، توسعه مداوم باج افزارها و تهدیدات و حملات مخرب موفقیت آمیز را دارند.
آیا این حملات توسط یک نفر انجام می گیرد؟
این اعتقاد وجود دارد که با توجه به ماهیت فنی بالای Win32/Diskcoder.C ، از لحاظ سوءاستفاده، انتشار و رمزگذاری و اینکه به خوبی توانسته از معیار امنیتی عبور کند، تنها یک نفر پشت این حملات باشد.
با این حال در این مرحله امکان اینکه گروهی پشت این حملات وجود داشته باشند را نمی توان به طور کامل رد کرد.
آیا امکان شناسایی عامل، یا عاملان این حمله وجود دارد ؟
در حال حاضر خیر. برخلاف بات نت، ارتباط C&C برای حمله وجود ندارد و امکان ردیابی و پیدا کردن مجرمان نیست و اگر هم این امکان وجود داشت، احتمالا از سروری خارجی که مورد حمله قرار گرفته تا با استفاده از آن مجرمان بتوانند کنترل و دسترسی از TOR داشته باشد، از این رو امکان شناسایی وجود ندارد.
علاوه بر این، پرداخت باجی که از قربانی درخواست می شود از طریق بیت کوین صورت می گردد و بنابراین با توجه به ویژگی های این روش پرداخت امکان شناسایی مقصد نهایی دریافت کننده مبلغ وجود ندارد.