محققان امنیتی در حال تلاش برای یافتن این حقیقت هستند که ایا باج افزاری که مسئول آخرین حملات جهانی بوده، نسخه جدیدی از پتیاست یا خیر. چیزی که محققان امنیتی در این زمینه پیدا کرده اند می تواند در استراتژی های امنیتی و بهبود شرایط به شما کمک کند. در این مقاله قصد داریم به همین موضوع بپردازیم. پس همراه وب ایده باشید.
این باج افزار برای کارهای زیر طراحی شده است:
- رمزگذاری فایل ها بدون تغییر Extension فایل ها
- وادار کردن دستگاه موردنظر برای بوت مجدد بعد از آلوده شدن
- رمزگذاری Master Boot Record بر روی دستگاه های آلوده
- نمایش صفحه CHKDSK تقلبی به عنوان پوششی برای فرایند رمزگذاری
- نمایش صفحه مخصوص باج افزار بعد از تکمیل فعالیت های موردنظر
با توجه به آخرین به روزرسانی های انجام شده در مورد بدافزارها، Kaspersky Lab بیان کرده است که آنالیز کدها نشان می دهد از لحاظ فنی ، امکان رمزگشایی از دیسک های قربانی وجود ندارد. برای رمزگشایی از این دیسک ها، نیاز به آی دی(ID) نصب خواهد بود. همانند نسخه های قبلی باج افزارهایی همچون پتیا، میشا و گلدن آی، این آی دی نصب برای ریکاوری های اصلی لازم و ضروری خواهد بود. با اینحال، محققان بدافزار جدیدی را با نام ExPetr پیدا کرده اند که چنین مکانیسمی برای ریکاوری اطلاعات ندارد. این موضوع بدین معنی است که فرد تهدید کننده نمی تواند اطلاعات مورد نیاز برای رمزگشایی را استخراج کند. به طور خلاصه، قربانی ها نمی توانند داده های خود را بازیابی کنند حتی اگر باج خواسته شده از طرف فرد مقابل را پرداخت نمایند. این یافته ها نه تنها توصیه های قبلی جوامع امنیتی برای پرداخت نکردن هزینه های درخواستی باج افزار را تایید می کند بلکه سوالات بیشتری را در مورد هدف واقعی این بدافزارها ایجاد می کند. این دیدگاه توسط آخرین بیانیه مرکز ملی امنیت سایبری انگلستان (NCSC) پشتیبانی می شود که در حال مدیریت تاثیر این حوادث بر روی انگلستان است. متخصصان NCSC شواهدی را پیدا کرده اند که قضاوت های اولیه در مورد هدف باج افزار را زیر سوال می برد. NCSC در این باره چنین می گوید: ما در حال بررسی شرایط موجود هستیم تا ببینیم هدف از انجام اینکار چه بوده است. هدف واقعی چنین باج افزارهایی هرچه که باشد، تجزیه و تحلیل آن نشان می دهد که می توان درس هایی از آن گرفت و در سایر شرایط از آن استفاده کرد. درس های کلیدی که می توان از ظهور چنین باج افزارهایی گرفت این است:
- به روزرسانی نرم افزارها و اطمینان حاصل کردن از اینکه تمامی آن ها به روز شده اند می تواند در کاهش اسیب پذیری سازمان ها در برابر حملات سایبری مفید باشد.
- بدافزارها به طور فزاینده ای از ابزارهای قانونی برای فعالیت های بدخواهانه خود استفاده می کنند. به عنوان مثال در مورد بدافزار ExPetr دو مورد از ابزارهای مدیریتی رایج در ویندوز یعنی WMIC و PsExec مورد استفاده قرار گرفته بود. این دانش ارزش استفاده از سیستم های شناسایی و سیستم پاسخگویی مدرن در برابر تهدیدها و استفاده از کارکنان آموزش دیده یا شرکای خارجی قابل اعتماد را برای شناسایی و جلوگیری از این نوع حمله نشان می دهد. همانند WannaCry، متخصصان امنیتی بر این باورند که ExPetr ثابت می کند که جنبش جانبی یک مسئله امنیتی مهم محسوب می شود. محیط هایی که معماری محیطی تعریف شده توسط نرم افزار را برای کاهش جنبش های جانبی به کار می برند در مقایسه با شبکه های شرکتی سنتی و باز، کمتر تحت تاثیر این شرایط قرار خواهند گرفت.
- بدافزار، مکانیسم به روزرسانی نرم افزارهای مخرب برای توسعه آن است. این تکنیک در اینده نیز به طور فزاینده ای مورد استفاده قرار خواهد گرفت. مایکروسافت تایید کرده است که ExPetr امکان به روزرسانی خودکار در نرم افزار حسابداری E.Doc را ربوده است. این سیستم حسابداری به طور گسترده در اوکراین مورد استفاده قرار می گیرد. به همین خاطر است که این کشور بیشتر از سایر کشورها تحت تاثیر چنین بدافزاری قرار گرفته است. شرکت ها و سازمان ها باید خطرات و تهدیدات واقعی که توسط نرم افزارهای third party وجود دارد را درک کنند. در اکتبر سال ۲۰۱۶، آزمایشگاه های امنیتی Forcepoint در مورد به روزرسانی هایی که توسط مکانیسم به روزرسانی خودکار نرم افزار انجام می شود هشدار دادند. این شرکت توصیه می کند سازمان ها نرم افزارهای موجود را مورد ارزیابی قرار دهند. چندین نمونه پیوست پی دی اف و ورد جمع اوری شده است که احتمال استفاده از تکنیک های انتشار متعدد توسط بدافزارها را نشان می دهد. این موضوع اهمیت داشتن سیستم مناسب برای شناسایی پیوست های بدخواه در ایمیل ها را نیز نشان می دهد.
- داشتن یک برنامه مناسب برای بک آپ گیری و بازیابی اطلاعات در شرایط بحرانی می تواند بسیار مفید باشد.
- بدافزارها از ابزارهای امنیتی برای کشف نام کاربری و پسورد استفاده می کنند. این موضوع بدین معنی است که سازمان ها باید اطمینان حاصل کنند که از سیستم های مناسب و فرایندهای مختلف برای پیشگیری از چنین سوء استفاده هایی بهره می برند.
به عنوان مثال بدافزار ExPetr از ابزار Mimikatz برای شناسایی اختیارات کاربران ویندوزی استفاده می کند.برای تهیه انتی ویروس و مشاوره رایگان در زمینه امنیت سرور خود با ما تماس بگیرید.
