کارشناسان کسپرسکی برای جلوگیری از ورود بدافزارها و به‌ویژه ExPetr به زیرساخت‌ها توصیه‌هایی دارند.

به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، سه‌شنبه شب و صبح چهارشنبه هفته گذشته تمام جهان شاهد نژاد جدیدی از بدافزارهای رمزنگار بود. کارشناسان کسپرسکی این‌گونه از بدافزار را ExPetr (برخی دیگر آن را Petya ،PetrWrap و اسم‌های دیگر) می‌نامند. تفاوت کلیدی این باج‌افزار جدید در این زمان این است که مجرمان پشت این حمله، اهداف خود را با دقت بیشتری انتخاب کرده‌اند. اکثر قربانیان این حمله سازمان‌ها و کسب‌وکارها هستند و نه کاربران معمولی.

بدترین خبر این است که مجرمان زیرساخت‌های مهم و حیاتی سازمان‌ها را مورد حمله مستقیم خود قرار داده‌اند و به بیانی ساده‌تر آنها را نابود کرده‌اند. به عنوان مثال در روز حمله چند پرواز در اوکراین به تاخیر افتاد.

اما به‌راستی چرا سیستم‌های حیاتی کسب‌وکارها مورد اصابت مستقیم بدافزارهای رمزنگار قرار می‌گیرند؟ چراکه زیرساخت‌ها به طور مستقیم به شبکه شرکت‌ها متصل هستند و یا به‌طور مستقیم به اینترنت دسترسی دارد.

درست همانند واناکرای، ما دو مشکل علنی داریم: نفوذ بدافزارها به زیرساخت‌های شرکت‌ها و گسترش آنها. این دو مشکل باید به طور جدی مورد توجه قرار بگیرد.

نفوذ اولیه
کارشناسان کسپرسکی مسیرهای مختلفی را نشان می‌دهند که بدافزارها به شبکه نفوذ می‌کنند. در برخی از موارد مجرمان از سایت‌های مخرب استفاده می کنند و کاربران بدافزارها را به‌عنوان آپدیت نرم‌افزارها دریافت می‌کنند. در موارد دیگر، آلودگی‌ها از طریق آپدیت‌های نرم‌افزارهای شخص سوم گسترش می‌یابند. به عنوان مثال از طریق نرم‌افزار حسابداری اوکراین به نام M.E.Doc این آلودگی گسترش یافت. به عبارت دیگر نمی‌توان هیچ پیش‌بینی قوی را برای محافظت در برابر بدافزارها در نظر گرفت.

ما برای جلوگیری از ورود بدافزارها به زیرساخت‌ها توصیه‌هایی داریم که به شرح زیر است:

• کارمندان خود را برای بازنکردن فایل‌های مشکوک و کلیک نکردن بر روی لینک‌های مشکوک آموزش دهید. شاید این راهی پیش‌پاافتاده باشد، اما باید دانست که در شرکت‌ها همچنان به کرات این بی‌دقتی دیده می‌شود.

• اطمینان حاصل کنید که تمام سیستم‌های متصل به اینترنت شما به راهکارهای امنیتی که تمام قدم‌های آنلاین شما را آنالیز می‌کند، مجهز است.

• بررسی کنید که اجزای مهم راهکارهای امنیتی شما فعال باشند. در رابطه با راهکارهای امنیتی لابراتوار کسپرسکی اطمینان و امنیت در سیستم واچر و امنیت شبکه آن خلاصه می‌شود.

• راهکارهای امنیتی خود را به روز نگه دارید.

لابراتوار کسپرسکی برای حفاظت بیشتر ابزار رایگانی را حتی برای کسانی که از راهکارهای امنیتی لابراتوار کسپرسکی استفاده نمی‌کنند، سازگار با اکثر راهکارهای امنیتی منتشر کرده‌است که به‌وسیله آن می توانید در برابر بدافزارها محافظت شوید.

ترویج در شبکه
هنگامی که تله مجرمان در دو باج‌افزار در یک سیستم واحد مقایسه می‌شود، ExPetr بسیار قوی‌تر از واناکرای در یک شبکه محلی گسترش می‌یابد. دلیل این قوی بودن، طیف گسترده‌ای از قابلیت‌هاست که برای این هدف خاص در نظر گرفته شده‌است. اول اینکه این بدافزار از دو اکسپلویت استفاده می‌کند: یک EternalBlue اصلاح شده (که در واناکرای هم مورد استفاده قرار گرفت) و EternalRomance (اکسپلویتی دیگر از TCP پورت ۴۴۵). دوم اینکه زمانی که بدافزار یک سیستمی که کاربر آن دارای امتیازات مدیریتی است را آلوده می‌کند، بدافزار با استفاده از تکنولوژی مدیریت ویندوز یا ابزار کنترل از راه دور PsExec خود را منتشر می‌کند.

برای جلوگیری از انتشار تروجان‌ها به شبکه‌ها، به‌ویژه در سیستم‌های حیاتی سازمان، باید:

• سیستم هایی که به اتصال اینترنت فعال در یک بخش مجزا نیاز دارند را جدا کنید.

• شبکه‌های باقی مانده را در ساب‌نت‌ها یا ساب‌نت‌های حقیقی را با اتصالات محدود از هم جدا کنید، تنها اتصالاتی که به فرایند‌های تکنولوژی نیاز دارند.

• اطمینان حاصل کنید که آپدیت‌های مهم ویندوز را انجام داده‌اید. در این حمله آپدیت بیش از حد اهمیت دارد. MS۱۷-۰۱۰ closes آسیب‌پذیری است که توسط EternalBlue و EternalRomance اکسپلویت می‌شود.

• سرورهای بک‌آپ را از دیگر سرورها جدا کنید و از اتصال از راه دور درایوها در سرورهای پشتیبان خودداری کنید.

• مانع اجرای فایل‌هایی با نام perfc.dat شوید. شما می‌توانید با استفاده از اپلیکیشن‌هایی که مانع باز شدن چنین فایل‌هایی می‌شوند، همانند ویژگی کنترل در راهکار امنیتی اندپوینت کسپرسکی برای بیزینس‌ها یا ابزار AppLocker system در ویندوز، استفاده کنید.

• برای زیرساخت‌های خود از راهکارهایی همانند Kaspersky Embedded Security Systems استفاده کنید.

• حالت پیش فرض Deny mode را به‌عنوان یک محافظت اضافی در سیستم‌هایی که امکان‌پذیر است، فعال کنید.

باج را بپردازیم یا نپردازیم؟
درنهایت اگرچههمیشه به کاربران و قربانیان توصیه می‌شود که هیچ مبلغی را برای باج به مجرمان نپردازند، اما گاهی اوقات برخی از شرکت‌ها در زمان حمله احساس می‌کنند که هیچ راهی برای انتخاب ندارند. در هر صورت اگر اطلاعات شما توسط باج‌افزار جدید ExPetr قفل و تحت تاثیر قرار گرفته‌است به‌هیچ‌وجه نباید به مجرمان باج پرداخت کنید.

کارشناسان امنیتی دریافته‌اند که این بدافزار هیچ مکانیزمی برای ذخیره شناسه نصب (installation ID) ندارد. بدون این شناسه، افراد مورد تهدید نمیتوانند اطلاعات ضروری مورد نیاز برای رمزگشایی را استخراج کنند.  آنها به‌سادگی قادر به کمک برای بازیابی فایل‌های قربانیان نخواهند بود.