حمله باج افزارها به سرورهای ویندوزی
ماهر|
مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانهیی ضمن هشدار مجدد به کاربران برای به روز رسانی سیستم عاملهای خود اعلام کرد: حمله باج افزارها به سرورهای ویندوزی از جمله چندین بیمارستان در هفتههای اخیر خسارتهای جبرانناپذیری به بار آورده است.
باجافزارها (Ransomware) گونهیی از بدافزارها هستند که دسترسی به سیستم را محدود کرده و ایجادکننده آن برای برداشتن محدودیت درخواست باج میکند. برخی از انواع آنها روی فایلهای هارددیسک رمزگذاری انجام میدهند و برخی دیگر ممکن است به سادگی سیستم را قفل کنند و پیامهایی روی نمایشگر نشان دهند که از کاربر میخواهد مبالغی را واریز کنند.
باجافزارها نخست در روسیه مشاهده شدند اما در ماههای اخیر تعداد حملههای باجافزارها به کشورهای دیگر از جمله استرالیا، آلمان و ایالات متحده امریکا افزایش یافته است.
مرکز ماهر اعلام کرد: بررسیهای فنی نشان داده که در بسیاری از این حملهها مهاجمان با سوءاستفاده از دسترسی به سرویس دسترسی از راه دور که در سیستم عامل ویندوز مبتنی بر پروتکل آر. دی. پی (RDP) است وارد شده، آنتی ویروس نصب شده را غیرفعال میکنند و با انتقال فایل باج افزار، اقدام به رمزگزاری فایلهای سرور میکنند و حتی در مواردی، مشاهده شده است که مهاجمان، با صرف زمان کافی و پس از کسب شناخت و انجام انواع دیگری از سوءاستفادههای ممکن، زمان و الگوی انجام پشتیبانگیری از اطلاعات را نیز شناسایی کرده و موفق به انجام حملههای باجافزاری بینقص شدهاند.
مهاجم در این حملهها، با سوءاستفاده از نسخههای آسیبپذیر سرویس (Remote Desktop) رمز عبور ضعیف، تنظیمهای ناقص یا بیاحتیاطی در حفاظت از رمز عبور، وارد سرورها میشوند.
مرکز ماهر اعلام کرد: برای جلوگیری از وقوع این حملهها لازم است که تا حد امکان، نسبت به مسدود کردن سرویسهای غیر ضروری Remote Desktop روی سرورهای در دسترس از طریق شبکه اینترنت اقدام کرد و در صورت ضرورت و غیرقابل اجتناب بودن ارائه این امکان در بستر اینترنت، به دقت موارد زیر را رعایت کرد.
فعال بودن دسترسی Remote Desktop به صورت حفاظت نشده در سطح اینترنت، سرور و دادههای شما را به جددر معرض خطر قرار خواهد داد.
سیستمعامل مداوم به روز رسانی شده و هوشیاری در خصوص احتمال رخ دادن حملههای جدید و شناسایی آسیبپذیریهای جدید افزایش یابد.
انجام منظم و سختگیرانه پشتیبانگیری از اطلاعات روی تعداد کافی از رسانههای ذخیرهسازی اطلاعات و آزمایش نسخ پشتیبان پس از هر مرتبه پشتیبانگیری ضروری است.
استفاده نکردن از کاربر Administratorبرای دسترسی از راهدور و تعریف یک کاربر جدید با دسترسی محدود شده برای این منظورضروری است.
تنظیم کردن سرورها به شکلی که برای ورود موفق، سقف مشخص و محدودی از تلاشهای ناموفق تعیین شود، سطح قابل قبولی از پیچیدگی برای رمز عبور را الزام کرده و تغییر رمز عبور در بازه زمانی معقولی را اجبار کنید. انجام این فرآیند در سیستمعاملهای مختلف متفاوت بوده و بسیار ساده اما تاثیرگذار است و سبب پیشگیری از موفقیت بسیاری از حملهها بر پایه دیکشنری یا دزدیدن رمز عبور میشود.
محدود کردن اجازه استفاده از خدمات دسترسی از راهدور در فایروال به آدرس آیپیهای مشخص در صورت امکان ضروری است همچنین، ایجاد لایههای دفاعی بیشتر با تکیه بر خدماتی چون VPN نیز توصیه میشود. محدود کردن زمان و ساعت استفاده از خدمات دسترسی از راهدور با استفاده از
Group Policy Managerویندوز (محدود کردن دسترسی به ساعتهای اداری) یا حتی فعال کردن دسترسی از راه دور فقط در زمان نیاز و غیر فعال نمودن آن پس از رفع نیاز ضرورت دارد.
بررسی مداوم و روزانه گزارشهای امنیتی (به خصوص گزارش مربوط به Log-inدر Event-viewerویندوز)، گزارش آنتی ویروس و فایروال، جهت آگاه شدن از مواردی همچون زمان ورود هر کاربر و توجه و واکنش متناسب به موارد غیر متعارف همچون ورود در روزهای یا ساعتهای تعطیل و تلاشهای ناموفق بدافزارها برای دسترسی و آلودهسازی. دقت مضاعف در زمان استفاده از نام کاربری و گذرواژه برای دسترسی از راه دور، به خصوص در زمانی که برای اتصال از رایانه دیگران استفاده میشود. انواع Key logger از تروجانها میتوانند با دزدیدن مخفی اطلاعات تایپ شده، دسترسی مهاجمان به سرورها را ممکن کنند، این نوع از حملات به این دلیل که در ناآگاهی کاربر یا مدیر، تمام فرآیند ورود را میبینند، بسیار خطرناک بوده و منشأ اغلب حملهها با میزان خسارت درشت در ماههای اخیر هستند. به گزارش ایرنا، درماههای گذشته حملههای سایبری بیسابقهیی در کل جهان با سوءاستفاده از نشت اطلاعات از آژانس امنیت ملی امریکا آغاز شده است. بنا بر اعلام بیزینس اینسایدر، ماجرا از آنجا آغاز شد که چند ماه قبل یک گروه هکری روشهای مورد استفاده آژانس امنیت ملی امریکا برای نفوذ به رایانهها و سرقت اطلاعات از آنها را افشا کردند.
