دورکاری راهکاری برای مقابله با کرونا و فرصتی برای باج افزارها!
با توجه به شیوع ویروس کرونا در کشور، خوشبختانه شاهد آن هستیم که دورکاری در برخی از شرکتها، خبرگزاریها و استارتآپها در دستور کار قرار گرفته است. بررسی رخدادهای باج افزاری در سال ۲۰۱۹ حاکی از آن است که نقطه ورود حدود ۶۰ درصد حملات باج افزاری از طریق سرویس RDP بوده است. با توجه به افزایش دورکاری در میان کاربران ایرانی در روزهای آتی، نیاز است تا کارمندان، شرکتها و سازمانها با رعایت نکات و موارد امنیتی زیر، تهدیدهای احتمالی را به حداقل برسانند.
باج افزار چیست؟
یکی از روشهایی که در سالهای اخیر مورد توجه بسیاری از نفوذگران قرار گرفته است، کسب درآمد از طریق باج خواهی از قربانیان میباشد. نفوذگران سایبری با استفاده از روشهای مهندسی اجتماعی، حدس رمزهای عبور و استفاده از فایلهای آلوده یا ضعفهای موجود در پیکربندی سرویسدهندهها و موارد دیگر... میتوانند موفق به گرفتن دسترسی از سیستم قربانی شوند، که این امر منجر به سرقت اطلاعات و یا افشای اطلاعات خواهد شد. در سالهای اخیر با گسترش رمزارزهای دیجیتال، نفوذگران به دنبال کسب درآمد مستقیم از قربانیان با سوء استفاده از رمزگذاری و از دسترس خارج کردن فایلهای سیستم قربانی بودهاند، که متاسفانه تا حدود زیادی در این کار موفق بودهاند. رمزگذاری اطلاعات به نحوی انجام میگیرد که حتی کاربر اصلی نیز امکان دسترسی به اطلاعات خود را نداشته باشد و نفوذگر در ازای رمزگشایی اطلاعات، از قربانیان مبالغ هنگفتی باج طلب مینماید.
در سالهای اخیر خسارات مالی چشمگیری توسط باجافزارها متوجه شرکتها و سازمانهای سراسر جهان شده است، به طوری که برخی از کارشناسان مجموع خسارات حملات گزارش شده و گزارش نشده در سال ۲۰۱۹ میلادی را حدود ۱۷۰ میلیارد دلار برآورد مینمایند. در اکثر موارد احتمال بازگرداندن فایلهایی که توسط باجافزارها رمز میشوند، بسیار کم و نزدیک به صفر است. متاسفانه بسیاری از قربانیان حتی پس از پرداخت باج نیز موفق به بازیابی اطلاعات خود نشدهاند.
باج افزارها و RDP
در سال ۲۰۱۹ میلادی ۶۳ درصد از قربانیان باجافزار، کسبوکارهای کوچک بودهاند. همچنین آمارها نشان میدهد که در همان سال حدود ۶۰ درصد از حملات باجافزاری، مربوط به سرویس RDP و آسیبپذیریهای آن بودهاست. سرویس RDP یکی از پرکاربردترین روشهای اتصال از راه دور به کامپیوترها در بستر شبکه میباشد که جهت مدیریت و کنترل کردن فایلها و اطلاعات کامپیوترها استفاده میگردد.
حدود ۶۰ درصد حملات باج افزارها در سال ۲۰۱۹ مربوط به آسیب پذیری RDP بودند.
از مشهورترین باجافزارهایی که از آسیبپذیریهای سرویس RDP در حملات خود بهره میبرند، میتوان به Samsam، Dharma و ACCDFISA اشاره کرد. استفاده از نسخههای آسیبپذیر سرویس RDP، عدم اعمال محدودیتهای دسترسی، استفاده از تنظیمات پیشفرض، استفاده از رمز عبور ضعیف، تنظیمات ناقص یا بیاحتیاطی در حفاظت از رمز عبور از مهمترین عوامل نفوذ باجافزارها به داخل سرورها و سیستمهای سازمانها بوده است. لذا فعال بودن دسترسی Remote Desktop به صورت حفاظت نشده در سطح اینترنت، سرور و دادههای شما را بیش از آن که تصورش را بکنید، در معرض خطر قرار خواهد داد.
راهکار امن سازی
با توجه به پرکاربرد بودن استفاده از RDP در مواقع دورکاری، در صورت لزوم رعایت موارد جهت امنسازی این سرویس ضروری است. برخی از اقداماتی که تا حد زیادی میتوانند منجر به کاهش آثار مخرب حملات و همچنین کاهش میزان آسیبپذیری سازمانشما در مقابل حملات مربوط به RDP شود، به شرح زیر میباشند:
-
انجام منظم و سختگیرانه پشتیبانگیری از اطلاعات، آزمایش نسخههای پشتیبان پس از هر مرتبه پشتیبانگیری.
-
استفاده از راههای ارتباط امن با شبکه داخلی از طریق تانلهای VPN.
-
بهروزرسانی منظم سیستمعامل و نرم افزارهای کاربردی.
-
استفاده از آنتیویروسهای معتبر و بهروزرسانی مداوم آنها.
-
عدم استفاده از کاربر با سطح ادمین (Administrator) برای دسترسی از راه دور و تعریف کاربران مجاز با دسترسی مشخص و محدود شده.
-
سیاستگذاریهای مناسب جهت استفاده از رمزعبور پیچیده با طول حداقل ۸ کاراکتر، تغییر دورهای رمزهای عبور و استفاده از مکانیزمهای ورود چند مرحلهای.
-
تنظیم کردن سرورها به شکلی که برای ورود موفق، سقف مشخص و محدودی از تلاشهای ناموفق تعیین شود، این فرآیند در سیستمعاملهای مختلف متفاوت بوده و بسیار ساده اما تاثیرگذار است و سبب پیشگیری از موفقیت بسیاری از حملات بر پایه دیکشنری یا دزدیدن رمز عبور میشود.
-
استفاده از دیواره آتش و اعمال قوانین و تنظیمات محدودیت حداکثر، به نحوی که تمامی ارتباطات قطع شوند و صرفا به سرویسهای مجاز اجازهی دسترسی داده شود.
-
استفاده از نرم افزارهای گزارشگیری جهت بررسی وقایع و رخدادهای ورود و خروج کاربران از طریق ارتباطات راه دور و ...
-
دقت مضاعف در زمان استفاده از نام کاربری و گذرواژه برای دسترسی از راه دور، مخصوصا در زمانی که برای اتصال از رایانه دیگران استفاده میشود. انواع Key logger ها و تروجانها میتوانند با دزدیدن مخفی اطلاعات تایپ شده، دسترسی مهاجمین به سرورها را ممکن کنند.
-
محدودیت دسترسی از راه دور تنها به آدرسهای IP مشخص.
-
عدم دانلود و استفاده از فایلهای ضمیمه از آدرسهای ایمیل نامعتبر و ناشناخته.
-
تغییر پورت پیشفرض.
بکآپ و دیگر هیچ!
تجربهی همکاران ما در بیش از 100 مورد امداد به سازمانها و شرکتهای آلوده به باج افزار در سطح کشور حاکی از آن است که تنها راهکار عملی جهت جلوگیری از خسارت حملات باجافزارها، تهیه و تدوین راهکارهای مناسب و دورهای جهت پشتیبان گیری آفلاین از اطلاعات حیاتی و بررسی سلامت فایلهای پشتیبان میباشد.
با روند رو به رشد تهدیدات سایبری در سالهای اخیر، امکان مورد حمله قرار گرفتن کسبوکارها بیش از پیش شده است، شاید نتوان جلوی ماشین حملات و تهدیدات سایبری را گرفت اما میتوان با رعایت نکاتی ساده، ریسک خسارت و میزان آسیبهای احتمالی را کاهش داد. در صورت نیاز به اطلاعات بیشتر و راهنمایی جهت امن سازی سرویسهای خود میتوانید از طریق راههای ارتباطی با کارشناسان ما در ارتباط باشید.
در سختی ها، همراهتان هستیم...