کارشناسان کسپرسکی برای جلوگیری از ورود بدافزارها و بهویژه ExPetr به زیرساختها توصیههایی دارند.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، سهشنبه شب و صبح چهارشنبه هفته گذشته تمام جهان شاهد نژاد جدیدی از بدافزارهای رمزنگار بود. کارشناسان کسپرسکی اینگونه از بدافزار را ExPetr (برخی دیگر آن را Petya ،PetrWrap و اسمهای دیگر) مینامند. تفاوت کلیدی این باجافزار جدید در این زمان این است که مجرمان پشت این حمله، اهداف خود را با دقت بیشتری انتخاب کردهاند. اکثر قربانیان این حمله سازمانها و کسبوکارها هستند و نه کاربران معمولی.
بدترین خبر این است که مجرمان زیرساختهای مهم و حیاتی سازمانها را مورد حمله مستقیم خود قرار دادهاند و به بیانی سادهتر آنها را نابود کردهاند. به عنوان مثال در روز حمله چند پرواز در اوکراین به تاخیر افتاد.
اما بهراستی چرا سیستمهای حیاتی کسبوکارها مورد اصابت مستقیم بدافزارهای رمزنگار قرار میگیرند؟ چراکه زیرساختها به طور مستقیم به شبکه شرکتها متصل هستند و یا بهطور مستقیم به اینترنت دسترسی دارد.
درست همانند واناکرای، ما دو مشکل علنی داریم: نفوذ بدافزارها به زیرساختهای شرکتها و گسترش آنها. این دو مشکل باید به طور جدی مورد توجه قرار بگیرد. نفوذ اولیه کارشناسان کسپرسکی مسیرهای مختلفی را نشان میدهند که بدافزارها به شبکه نفوذ میکنند. در برخی از موارد مجرمان از سایتهای مخرب استفاده می کنند و کاربران بدافزارها را بهعنوان آپدیت نرمافزارها دریافت میکنند. در موارد دیگر، آلودگیها از طریق آپدیتهای نرمافزارهای شخص سوم گسترش مییابند. به عنوان مثال از طریق نرمافزار حسابداری اوکراین به نام M.E.Doc این آلودگی گسترش یافت. به عبارت دیگر نمیتوان هیچ پیشبینی قوی را برای محافظت در برابر بدافزارها در نظر گرفت.
ما برای جلوگیری از ورود بدافزارها به زیرساختها توصیههایی داریم که به شرح زیر است:
• کارمندان خود را برای بازنکردن فایلهای مشکوک و کلیک نکردن بر روی لینکهای مشکوک آموزش دهید. شاید این راهی پیشپاافتاده باشد، اما باید دانست که در شرکتها همچنان به کرات این بیدقتی دیده میشود.
• اطمینان حاصل کنید که تمام سیستمهای متصل به اینترنت شما به راهکارهای امنیتی که تمام قدمهای آنلاین شما را آنالیز میکند، مجهز است.
• بررسی کنید که اجزای مهم راهکارهای امنیتی شما فعال باشند. در رابطه با راهکارهای امنیتی لابراتوار کسپرسکی اطمینان و امنیت در سیستم واچر و امنیت شبکه آن خلاصه میشود.
• راهکارهای امنیتی خود را به روز نگه دارید.
لابراتوار کسپرسکی برای حفاظت بیشتر ابزار رایگانی را حتی برای کسانی که از راهکارهای امنیتی لابراتوار کسپرسکی استفاده نمیکنند، سازگار با اکثر راهکارهای امنیتی منتشر کردهاست که بهوسیله آن می توانید در برابر بدافزارها محافظت شوید.
ترویج در شبکه هنگامی که تله مجرمان در دو باجافزار در یک سیستم واحد مقایسه میشود، ExPetr بسیار قویتر از واناکرای در یک شبکه محلی گسترش مییابد. دلیل این قوی بودن، طیف گستردهای از قابلیتهاست که برای این هدف خاص در نظر گرفته شدهاست. اول اینکه این بدافزار از دو اکسپلویت استفاده میکند: یک EternalBlue اصلاح شده (که در واناکرای هم مورد استفاده قرار گرفت) و EternalRomance (اکسپلویتی دیگر از TCP پورت ۴۴۵). دوم اینکه زمانی که بدافزار یک سیستمی که کاربر آن دارای امتیازات مدیریتی است را آلوده میکند، بدافزار با استفاده از تکنولوژی مدیریت ویندوز یا ابزار کنترل از راه دور PsExec خود را منتشر میکند.
برای جلوگیری از انتشار تروجانها به شبکهها، بهویژه در سیستمهای حیاتی سازمان، باید:
• سیستم هایی که به اتصال اینترنت فعال در یک بخش مجزا نیاز دارند را جدا کنید.
• شبکههای باقی مانده را در سابنتها یا سابنتهای حقیقی را با اتصالات محدود از هم جدا کنید، تنها اتصالاتی که به فرایندهای تکنولوژی نیاز دارند.
• اطمینان حاصل کنید که آپدیتهای مهم ویندوز را انجام دادهاید. در این حمله آپدیت بیش از حد اهمیت دارد. MS۱۷-۰۱۰ closes آسیبپذیری است که توسط EternalBlue و EternalRomance اکسپلویت میشود.
• سرورهای بکآپ را از دیگر سرورها جدا کنید و از اتصال از راه دور درایوها در سرورهای پشتیبان خودداری کنید.
• مانع اجرای فایلهایی با نام perfc.dat شوید. شما میتوانید با استفاده از اپلیکیشنهایی که مانع باز شدن چنین فایلهایی میشوند، همانند ویژگی کنترل در راهکار امنیتی اندپوینت کسپرسکی برای بیزینسها یا ابزار AppLocker system در ویندوز، استفاده کنید.
• برای زیرساختهای خود از راهکارهایی همانند Kaspersky Embedded Security Systems استفاده کنید.
• حالت پیش فرض Deny mode را بهعنوان یک محافظت اضافی در سیستمهایی که امکانپذیر است، فعال کنید. باج را بپردازیم یا نپردازیم؟ درنهایت اگرچههمیشه به کاربران و قربانیان توصیه میشود که هیچ مبلغی را برای باج به مجرمان نپردازند، اما گاهی اوقات برخی از شرکتها در زمان حمله احساس میکنند که هیچ راهی برای انتخاب ندارند. در هر صورت اگر اطلاعات شما توسط باجافزار جدید ExPetr قفل و تحت تاثیر قرار گرفتهاست بههیچوجه نباید به مجرمان باج پرداخت کنید.
کارشناسان امنیتی دریافتهاند که این بدافزار هیچ مکانیزمی برای ذخیره شناسه نصب (installation ID) ندارد. بدون این شناسه، افراد مورد تهدید نمیتوانند اطلاعات ضروری مورد نیاز برای رمزگشایی را استخراج کنند. آنها بهسادگی قادر به کمک برای بازیابی فایلهای قربانیان نخواهند بود.