دورکاری راهکاری برای مقابله با کرونا و فرصتی برای باج افزارها!

با توجه به شیوع ویروس کرونا در کشور، خوشبختانه شاهد آن هستیم که دورکاری در برخی از شرکت‌ها، خبرگزاری‌ها و استارتآپ‌ها در دستور کار قرار گرفته است. بررسی رخدادهای باج­ افزاری در سال ۲۰۱۹ حاکی از آن است که نقطه ورود حدود ۶۰ درصد حملات باج ­افزار‌ی از طریق سرویس RDP بوده است. با توجه به افزایش دورکاری در میان کاربران ایرانی در روزهای آتی، نیاز است تا کارمندان، شرکت‌ها و سازمان‌ها با رعایت نکات و موارد امنیتی زیر، تهدیدهای احتمالی را به حداقل برسانند.

باج افزار چیست؟

یکی از روش‌هایی که در سال‌های اخیر مورد توجه بسیاری از نفوذگران قرار گرفته است، کسب درآمد از طریق باج ­خواهی از قربانیان می‌باشد. نفوذگران سایبری با استفاده از روش‌های مهندسی اجتماعی، حدس رمزهای عبور و استفاده از فایل‌های آلوده یا ضعف‌های موجود در پیکربندی سرویس‌دهنده‌ها و موارد دیگر... می‌توانند موفق به گرفتن دسترسی از سیستم قربانی شوند، که این امر منجر به سرقت اطلاعات و یا افشای اطلاعات خواهد شد. در سال‌های اخیر با گسترش رمزارز‌های دیجیتال، نفوذگران به دنبال کسب درآمد مستقیم از قربانیان با سوء استفاده از رمزگذاری و از دسترس خارج کردن فایل‌های سیستم قربانی بوده‌اند، که متاسفانه تا حدود زیادی در این کار موفق بوده‌اند. رمزگذاری اطلاعات به نحو‌ی انجام می‌گیرد که حتی کاربر اصلی نیز امکان دسترسی به اطلاعات خود را نداشته باشد و نفوذگر در ازای رمزگشایی اطلاعات، از قربانیان مبالغ هنگفتی باج طلب می‌نماید.

در سال‌های اخیر خسارات مالی چشمگیری توسط باج‌افزارها متوجه شرکت‌ها و سازمان‌های سراسر جهان شده است، به طوری که برخی از کارشناسان مجموع خسارات حملات گزارش شده و گزارش نشده در سال ۲۰۱۹ میلادی را حدود ۱۷۰ میلیارد دلار برآورد می‌نمایند. در اکثر موارد احتمال بازگرداندن فایل‌هایی که توسط باج‌افزار‌ها رمز می‌شوند، بسیار کم و نزدیک به صفر است.‌ متاسفانه بسیاری از قربانیان حتی پس از پرداخت باج نیز موفق به بازیابی اطلاعات خود نشده‌اند.

باج افزارها و RDP

در سال ۲۰۱۹ میلادی ۶۳ درصد از قربانیان باج‌افزار، کسب‌وکارهای کوچک بوده‌اند. همچنین آمارها نشان می‌دهد که در همان سال حدود ۶۰ درصد از حملات باج‌افزاری، مربوط به سرویس RDP و آسیب‌پذیری‌های آن بوده‌است. سرویس RDP یکی از پرکاربردترین روش‌های اتصال از راه دور به کامپیوترها در بستر شبکه می‌باشد که جهت مدیریت و کنترل کردن فایل­ها و اطلاعات کامپیوترها استفاده می‌گردد.

از مشهورترین باج‌افزارهایی که از آسیب‌پذیری‌های سرویس RDP در حملات خود بهره می‌برند، می‌توان به Samsam، Dharma و ACCDFISA اشاره کرد. استفاده از نسخه‌های آسیب‌پذیر سرویس RDP، عدم اعمال محدودیت‌های دسترسی، استفاده از تنظیمات پیش‌فرض، استفاده از رمز عبور ضعیف، تنظیمات ناقص یا بی‌احتیاطی در حفاظت از رمز عبور از مهمترین عوامل نفوذ باج‌افزارها به داخل سرورها و سیستم‌های سازمان‌ها بوده است. لذا فعال بودن دسترسی Remote Desktop ‌به صورت حفاظت نشده در سطح اینترنت، سرور و داده‌های شما را بیش از آن که تصورش را بکنید، در معرض خطر قرار خواهد داد.

راهکار امن سازی

با توجه به پرکاربرد بودن استفاده از RDP در مواقع دورکاری، در صورت لزوم رعایت موارد جهت امن‌سازی این سرویس ضروری است. برخی از اقداماتی که تا حد زیادی می‌توانند منجر به کاهش آثار مخرب حملات و همچنین کاهش میزان آسیب‌پذیری سازمان‌شما در مقابل حملات مربوط به RDP شود، به شرح زیر می‌باشند:

- انجام منظم و سخت‌گیرانه پشتیبان‌گیری از اطلاعات، آزمایش نسخه‌های پشتیبان پس از هر مرتبه پشتیبان‌گیری.

- استفاده از راه­های ارتباط امن با شبکه‌ داخلی از طریق تانل‌های VPN.

- به‌روزرسانی منظم سیستم‌عامل و نرم ­افزارهای کاربردی.

- استفاده از آنتی‌ویروس‌های معتبر و به‌روزرسانی مداوم آنها.

- عدم استفاده از کاربر با سطح ادمین (Administrator) برای دسترسی از راه دور و تعریف کاربران مجاز با دسترسی مشخص و محدود شده.

- سیاست‌گذاری‌های مناسب جهت استفاده از رمز‌عبور پیچیده با طول حداقل ۸ کاراکتر، تغییر دوره‌ای رمزهای عبور‌ و استفاده از مکانیزم‌های ورود چند مرحله‌ای.

- تنظیم کردن سرورها به شکلی که برای ورود موفق، سقف مشخص و محدودی از تلاش‌های ناموفق تعیین شود، این فرآیند در سیستم‌عامل‌های مختلف متفاوت بوده و بسیار ساده اما تاثیرگذار است و سبب پیشگیری از موفقیت بسیاری از حملات بر پایه دیکشنری یا دزدیدن رمز عبور می‌شود.

- استفاده از دیواره آتش و اعمال قوانین و تنظیمات محدودیت حداکثر، به نحو‌ی که تمامی ارتباطات قطع شوند و صرفا به سرویس‌های مجاز اجازه‌ی دسترسی داده شود.

- استفاده از نرم ­افزارهای گزارش‌گیری جهت بررسی وقایع و رخداد‌های ورود و خروج کاربران از طریق ارتباطات راه دور و ...

- دقت مضاعف در زمان استفاده از نام کاربری و گذرواژه برای دسترسی از راه دور، مخصوصا در زمانی که برای اتصال از رایانه دیگران استفاده می‌شود. انواع Key logger ها و تروجان‌ها می‌توانند با دزدیدن مخفی اطلاعات تایپ شده، دسترسی مهاجمین به سرورها را ممکن کنند.

- محدودیت دسترسی از راه دور تنها به آدرس‌های IP مشخص.

- عدم دانلود و استفاده از فایل‌های ضمیمه از آدرس‌های ایمیل نامعتبر و ناشناخته.

- تغییر پورت پیش‌فرض.

بکآپ و دیگر هیچ!

تجربه‌ی همکاران ما در بیش از 100 مورد امداد به سازمان‌ها و شرکت‌های آلوده به باج ­افزار در سطح کشور حاکی از آن است که تنها راه‌کار عملی جهت جلوگیری از خسارت حملات باج‌افزار‌ها، تهیه و تدوین راهکارهای مناسب و دوره‌ای جهت پشتیبان ­گیری آفلاین از اطلاعات حیاتی و بررسی سلامت فایل‌های پشتیبان می‌باشد.

با روند رو به رشد تهدیدات سایبری در سال­های اخیر، امکان مورد حمله قرار گرفتن کسب‌وکارها بیش از پیش شده است، شاید نتوان جلوی ماشین حملات و تهدیدات سایبری را گرفت اما می‌توان با رعایت نکاتی ساده، ریسک خسارت و میزان آسیب‌های احتمالی را کاهش داد. در صورت نیاز به اطلاعات بیشتر و راهنمایی جهت امن­ سازی سرویس‌های خود می‌توانید از طریق راه‌های ارتباطی با کارشناسان ما در ارتباط باشید.

در سختی ها، همراهتان هستیم...