نوشته‌ها

چرا باج افزار تهدیدی برای زیرساخت های حیاتی است

 

افزایش اخیر حملات باج افزاری در مقیاس بزرگ آسیب پذیری های زیرساخت های حیاتی کشور و سهولت نقض سیستم های آنها را برجسته کرده است.

 

تقریباً بیش از یک دهه پیش ، آنچه زیرساخت های حیاتی در نظر گرفته می شد تا حد زیادی محدود به کنترل ترافیک هوایی و تولید و انتقال انرژی بود و مقررات امنیتی به شدت بر این مناطق متمرکز شده است. با این حال ، امروزه به طور فزاینده ای اذعان شده است که زیرساخت ها موارد بیشتری را شامل می شود ، از سیستم های طوفان تا پردازنده های زباله ، ارائه دهندگان مخابرات ، بیمارستان ها ، خدمات مالی ، خطوط لوله و موارد دیگر.

حملات سایبری و باج افزارها بیشتر از تهدید خارجی غیر دیجیتالی برای زیرساخت های حیاتی خطر ایجاد

می کنند و اندازه و مقیاس زیرساخت ارتباط چندانی با دامنه خطر ندارد. باج افزار همان اندازه که یک شبکه تصفیه آب در مرکز شهر اسمال ویل ایالات متحده را تهدید می کند ، همانطور هم برای شبکه انرژی در مقیاس بزرگ یا خط لوله بنزین تهدید محسوب می‌شود.

باج افزار متکی به کلاهبرداری های فیشینگ یا حفره های امنیتی است که می تواند از آن استفاده کند ، از جمله آسیب پذیری های دیجیتالی و انسانی.

با افزایش پیچیدگی تهدیدات سایبری ، می توان انتظار داشت تهدید ارائه شده توسط باج افزارها تکامل یابد و اقدامات انجام شده برای حفاظت از زیرساخت های حیاتی کشور نیز باید تکامل یابد.

برای جلوگیری از خطرات احتمالی باید استانداردهای حفاظت از زیرساخت های حیاتی (CIP) در نظر گرفته شود؛  مانند جداسازی سیستم های مهم از اینترنت و جایگزینی احراز هویت تک عاملی مبتنی بر رمز عبور با اعتبار چند عاملی از جمله گواهینامه های دیجیتال بر اساس زیرساخت کلید عمومی (PKI) ، می تواند انواع دیگری از زیرساخت ها را ایجاد کند.

بسیاری از این صنایع زیرساختی قدیمی متکی به رایانه های بسیار تخصصی هستند که بر روی سیستم عامل های بسیار قدیمی کار می کنند .سیستم هایی که همیشه آنطور که باید حفاظت نشده و نگهداری نمی شوند.

فرض کنید به شما حمله خواهد شد پس باید برنامه ای برای کاهش قرار گرفتن در معرض و سپس اصلاح آن و افزایش حفاظت از سیستم های حیاتی داشته باشید. از خود بپرسید ، اگر مورد حمله قرار بگیرید چگونه آن سیستم ها را بازیابی می کنید؟ از کجا می توانید حفاظت های امنیتی اضافی را از امروز شروع کنید؟

اقدامات احتیاطی موثر عبارتند از:

تقسیم بندی شبکه ، قرار دادن داده ها و سیستم های مهم در پشت دیوار آتش و محدود کردن دسترسی فقط به کارمندانی که مشاغل آنها نیاز به دسترسی دارد.

رمزگذاری فایل ها ، ایمیل ها و پایگاه های داده ، به عنوان مثال با استفاده از گواهینامه های PKI

با انجام اقداماتی در جهت شناسایی و رفع آسیب پذیری در سیستم های خود ، از جمله به روز رسانی نرم افزار ، و با اطمینان از اینکه مهمترین عملکردهای آنها در برابر حملات سایبری و رمزگذاری داده ها به اندازه کافی مورد حفاظت است ، سازمان های زیرساختی می توانند به سرعت در جهت ایمن سازی سیستم های خود مانند سیستم های تحت پوشش CIP کار کنند.

ترفندهای جدید مبهم سازی برای به چالش کشیدن امنیت

یک کمپین فیشینگ جدید با بدافزار BazarBackdoor کشف شده است. این کمپین از روش فشرده سازی برای مخفی کردن بدافزار به عنوان یک پرونده تصویری استفاده می کند. این روش می تواند Secure Email Gateways (SEGs) را فریب دهد تا پیوست های مخرب را به عنوان پرونده های تمیز شناسایی کند.

به گفته محققان Cofense ، روش فشرده سازی می تواند برخی SEG ها را دور بزند زیرا محدودیت هایی در بررسی کامل یا اسکن یک پرونده فشرده دارد.

کمپین جدید BazarBackdoor از ماه گذشته فعال است و چندین گیرنده شرکت را با استفاده از موضوع روز محیط زیست ، که در 5 ژوئن جشن گرفته می شود ، فریب داد.

این ایمیل حاوی بایگانی های ZIP و RAR در پیوست است. این یک فایل JavaScript است که بدافزار BazarBackdoor را برای دسترسی از راه دور به ماشین های هدف ارائه می دهد.

هم چنین از پرونده جاوا اسکریپت بسیار مبهم برای بارگیری مخرب با پسوند تصویر استفاده می شود.

این عمل ، همانطور که کارشناسان می گویند ، در بین هکرها روندی رو به رشد است زیرا احتمال پرونده های مخرب را برای جلوگیری از شناسایی افزایش می دهد.

استفاده از چندین نوع بایگانی به طور عمدی توسط مهاجمان استفاده می شود زیرا این امکان را دارد که حد فشرده سازی SEG را از بین ببرد یا به دلیل ناشناخته بودن نوع بایگانی امکان پذیر نیست.

جاوا اسکریپت مبهم پس از اجرا ، با استفاده از اتصال HTTP GET ، محموله BazarBackdoor را با پسوند .png بارگیری می کند.

این بدافزار پس از استقرار در رایانه قربانی ، می تواند Cobalt Strike را که یک ابزار واقعی است که برای تمرینات پس از بهره برداری ایجاد شده و به صورت جانبی گسترش می یابد ، بارگیری و اجرا کند.

با شروع سال ، BazarBackdoor تغییر شکل داد. در حال حاضر ، عوامل تهدید در پشت آن پیچیده تر شده و از روش های جدیدی برای انتشار بدافزار استفاده می کنند.

این تهدیدی نگران کننده است و نیاز به نظارت مستمر از سوی نهادهای امنیتی دارد.

پردازنده های Intel 11th Gen Intel Core vPro با پشتیبانی از Hardware Shield و ویژگی های TDT قادر به شناسایی حملات باج افزار در سطح سخت افزاری و لایه های زیرین نرم افزار آنتی ویروس هستند.

در نمایشگاه Consumer Electronic Show 2021 ، اینتل اعلام کرد که از طریق بهبود فناوری محافظ سخت افزار و فناوری شناسایی تهدید (TDT) ، قابلیت های شناسایی باج افزار را به پردازنده های جدید یازدهمین نسل Core vPro خود اضافه می کند.

همچنین طی همکاری با Cybereason ، هر دو شرکت گفتند که این اولین موردی است که “سخت افزار کامپیوتر در شناسایی حملات باج افزار نقش مستقیم دارد”

این پردازنده چگونه کار می کند؟

همه اینها از طریق دو ویژگی اینتل یعنی Hardware Shield و Intel Threat Detection Technology (TDT) امکان پذیر است. هر دوی این فناوری ها مستقیماً روی پردازنده کار می کنند و بخشی از Intel vPro ، مجموعه ای از فناوری های سازمانی است که اینتل با برخی پردازنده های خود روانه بازار می کند.

Hardware Shield ، فناوری ای است که UEFI / BIOS و TDT را قفل می کند . این فناوری با استفاده از Telemetry CPU ،امکان شناسایی کدهای مخرب را دارد.

ایده پشت ویژگی های جدید اینتل این است که برخی از داده های خود را با نرم افزار امنیتی به اشتراک بگذارید و به آن اجازه دهید بدافزارهایی را که ممکن است در مکان هایی که برنامه های آنتی ویروس به آنها دسترسی ندارند مخفی کند ، شناسایی کند.

واحد نظارت بر عملکرد پردازنده اینتل (PMU) اینتل در زیر برنامه ها ، سیستم عامل و لایه های مجازی سازی سیستم قرار دارد و نمایش دقیق تری از تهدیدات فعال ، در کل سیستم را ارائه می دهد”. “همانطور که تهدیدها در زمان واقعی شناسایی می شوند ، Intel TDT سیگنالی با قابلیت اطمینان بالا را ارسال می کند که می تواند باعث ایجاد روند کار در Vendor’s code شود.”

طبق  صحبت های اینتل و Cybereason ، این فناوری جدید به شركتها این اجازه را می دهد كه حملات باج افزار را در صورت ورود، باج افزار با پنهان كردن در داخل ماشین های مجازی ، از شناسایی آنها جلوگیری كنند ، زیرا Hardware Shield و TDT لایه های زیادی را در زیر آن اجرا می كنند.

بحران باج افزار در حال افزایش است و عوامل تهدید دقیقاً در حال پیشرفت و بهبود TTP های خود هستند. افزایش حملات و اقدامات متقابل مقامات مجری قانون در چند وقت اخیر ، اپراتورهای باج افزار را به تکامل استراتژی های خود سوق داده است.

چه چیزی در حال اتفاق است؟

اپراتورهای باج افزارها از سایر سازمان ها مانند توزیع کنندگان Trojan برای توسعه بدافزار استفاده می کنند.این توزیع کنندگان ، تسهیل کننده دسترسی نامیده می شوند و از طریق پیوست های مخرب یا پیوندهایی که از طریق ایمیل ارسال می شود ، قربانیان را به دام می اندازند.

چرا باید اهمیت داد؟

باج افزارها به دلیل بهبود قابلیت شناسایی ،اکنون به ندرت از طریق ایمیل منتشر می شوند. تغییر جهت بارگیری به عنوان مرحله اول بار به اپراتورهای باج افزار ، انعطاف پذیری و انتخاب بهتری را ارائه می دهد.

آمار

در حالی که در مورد استراتژی های باج افزار صحبت می کنیم ، بهتر است نگاهی به آمار هم بیندازیم.

در دو ماه گذشته ، آفریقا شاهد افزایش 38 درصدی حملات باج افزار و پس از آن اروپا با 27 درصد بوده است.

از ابتدای سال میلادی ، حملات باج افزارها 41٪ افزایش یافته است. آمریکای لاتین با 62٪ ، و پس از آن اروپا 59٪ ، بیشترین افزایش در تلاش برای جلوگیری از حملات را داشته اند.

بیشترین تهدیدها در آموزش و پرورش (347٪) ، حمل و نقل (186٪) ، خرده فروشی و عمده فروشی (162٪) و بهداشت و درمان (159٪) مشاهده شده است. همه این مقادیر بر اساس حملات هفتگی است.

بحران باج افزارها در حال افزایش است و عوامل تهدیدکننده با دقت در حال تکامل و بهبود TTP های خود هستند.

افزایش حملات و اقدامات متقابل که در چند وقت اخیر توسط مقامات انتظامی انجام شده است ، اپراتورهای باج افزار را به تکامل استراتژی های خود سوق داده است.

استراتژی های دیگری که باید به آنها توجه کرد

استراتژی دیگری که مهاجمان باج افزار در اختیار دارند ، رمزگذاری مضاعف است که در آن از انواع مختلف باج افزار برای رمزگذاری داده های مشابه استفاده می کنند.

با گذشت زمان ، مهاجمان به گونه های جدید باج افزار و بدافزار سفارشی دست یافته اند.

سخن پایانی

جرایم سایبری روز به روز در حال افزایش و تکامل هستند وتهدیدهای مبتنی بر ایمیل از ابتدای امسال به موردی قدیمی تبدیل شده است. در حالی که تلاش های جدیدی توسط مقامات اجرای قانون در سراسر جهان برای مهار این امر اعلام شده است ، امنیت سایبری هر سازمان صرف نظر از اندازه آن باید جدی گرفته شود.

5 کاری که اکنون باید انجام دهید

در این مقاله مت برومیلی ، مشاور ارشد Mandiant Managed Defense ، در مورد نکات برتر برای محافظت از محیط های سازمانی در برابر باج افزار صحبت می کند.

اگر در حال حاضر تهدیدات سایبری در ذهن همه وجود دارد ، اولین آنها باید باج افزار باشد. باج افزار که یک تهدید “آزار دهنده” است ، به یک صنعت لایه ای و چند میلیارد دلاری برای مهاجمان تبدیل شده است. هرروز ما می بینیم که مهاجمان، اطلاعات زمینه ای در مورد اهداف خود را تهیه می کنند ، داده های شناسایی را جمع آوری می کنند و حمله ای را انجام می دهند که به سرعت سازمان را به زانو در می آورد.

در Mandiant ، ما همچنان شاهد موج حوادث باج افزار هستیم که سازمان های مختلف ، شکل ها و اندازه ها را هدف قرار داده است. به نظر می رسد مهاجمان، تمایز کمی نسبت به قربانیان خود دارند  و سازمان هایی را از آژانس های بیمه تا شبکه های آموزش عالی هدف قرار داده اند. دیدن مقادیر پرداخت باج افزار (یا اخاذی) به میلیون ها یا ده ها میلیون دلار معمول است. تهدید گسترده و مبالغ گزافی که تعداد کمی توان پرداخت آن را دارند. چرا ما همچنان شاهد حملات موفقیت آمیز هستیم؟

وزارت دادگستری ایالات متحده دستورالعمل داخلی صادر کرده است که باید با حملات باج افزار با اولویت حملات تروریستی برخورد شود .سازمان ها همچنان باید هوشیاری خود را حفظ کنند تا از امنیت خود محافظت کرده و میزان موفقیت مهاجمان را محدود کنند.

نکته شماره 1: برنامه ریزی کنید

بگذارید آسان شروع کنیم: برنامه ای داشته باشید. حتی اگر تیم امنیتی ندارید از آن استفاده کنید تا برنامه ای در دست اجرا داشته باشد. با این مثال ساده شروع کنید: اگر همین الان مورد حمله قرار بگیرید ، چگونه پاسخ می دهید؟

شروع به پر کردن هر خلائی که می شناسید کنید ، یا اینکه چگونه داده ها را به عملکردهای عادی خود بازگردانید. وقتی برنامه ریزی می کنید ، از دست دادن داده را فرض کنید و ببینید آیا این امر بر نحوه پاسخ شما تأثیر می گذارد.

نکته شماره 2: با هم کار کنیم

باج افزار دیگر فقط یک “مشکل امنیتی” نیست. حمله باج افزار بر کاربران ، مسایل حقوقی ، منابع انسانی ، امور مالی و بسیاری دیگر از جمله تیم امنیتی تأثیر می گذارد. با تیم ها تماس بگیرید و روابط مشترک برقرار کنید.

سرپرستان سیستم و سرور در حسابرسی محیط Active Directory شما بسیار مهم هستند.

مهندسین شبکه مسئول بهنگام بودن و جریان ترافیک هستند. آنها درک می کنند که داده ها در چه محیطی می توانند یا نمی توانند بروند.

با تیم حقوقی کار کنید تا موقعیت سازمان خود را در مورد باج افزار و شرایط احتمالی بهتر درک کنید. تیم حقوقی نیز باید بخشی از برنامه پاسخگویی به حوادث شما باشد.

نکته شماره 3: حسابرسی و محدود کردن حسابهای دارای امتیاز در Active Directory

یکی از اولین اهداف برای مهاجمین در یک محیط، قربانی یافتن و به دست آوردن اعتبار بالا است. این مدارک معمولاً برای دستیابی به اهدافشان ضروری است . آنها برای یافتن سیستمهای اضافی ، حرکت جانبی در محیط اطراف ، اجرای برخی از دستورات ، ایجاد پایداری و غیره به امتیازاتی نیاز دارند. آنها اغلب محیطهایی را با حسابهای بسیار ممتاز کشف می کنند.

ابزارهای زیادی در دسترس مهاجمان است که Active Directory را بررسی می کنند ، حتی برخی از آنها “کوتاهترین” مسیر برای دستیابی به حساب کاربری نهایی دامنه را پیدا می کنند. خوشبختانه برای مدافعان ، این ابزارها به هر دو روش کار می کنند: می توانند از آنها برای انجام “شناسایی” خود استفاده کنند و از این خروجی برای محدود کردن حساب های دارای امتیازات زیاد استفاده کنند.

نکته شماره 4: از محافظت های داخلی برای حساب های بسیار محرمانه استفاده کنید

در قسمت نکته شماره 3 ، هنگامی که حسابهای کاملاً ممتاز خود را فقط به موارد ضروری ممیزی و محدود کردید ، قدم بعدی استفاده از حفاظت داخلی است که می تواند راههای مختلف سرقت اعتبارنامه را کاهش دهد. به عنوان مثال سیستم عامل های جدید ویندوز دارای محافظاتی مانند Credential Guard و Remote Credential Guard برای ویندوز 10 و Windows Sever 2016+ هستند. از آنها استفاده کنید. برای نقاط انتهایی قدیمی ، از حالت مدیر محدود استفاده کنید.حسابهای غیر سرویس و ممتاز را در گروه امنیتی کاربران محافظت شده قرار دهید .از آنها در اطراف دامنه محافظت می شود. روش هایی را که اطلاعات متنی واضح را در حافظه ذخیره می کنند غیرفعال کنید. اگر عوامل شناسایی و پاسخ در نقطه پایانی (EDR) در محل خود دارید ، ببینید آیا آنها از حسابهای کاربری کاربر محافظت می کنند یا خیر.

اکثر تکنیک های مهاجمین برای سرقت مدارک شناخته شده هستند و متأسفانه بسیاری از سازمان ها از راه حل های موجود استفاده نمی کنند.

نکته شماره 5: پیاده سازی و شبیه سازی

پس از ایجاد محافظت از حساب ، از ابزار open-source برای آزمایش محیط خود استفاده کنید. آزمایش های مکرر نه تنها بینش بیشتری نسبت به محیط شما ایجاد می کند ، بلکه به شما نشان می دهد که در کجاها شکاف های تشخیصی و پوششی دارید.ما نمی توانیم به سادگی ابزارها را به برق متصل کنیم و انتظار داشته باشیم که با “فشار یک دکمه” از ما دفاع کنند. امنیت اطلاعات مناسب مستلزم آگاهی از محیط و آزمایش و تنظیم مکرر آن است.

تصمیم شما برای اقدام زودهنگام به معنای واقعی کلمه می تواند میلیون ها دلار ارزش داشته باشد.