روابط عمومی شرکت ایدکو (توزیعکنندهی محصولات کسپرسکی در ایران)؛ وقتی رسانهها در مورد شرکتی که توسط باجافزار مورد حمله قرار گرفته گزارش میدهند بسیاری تصور میکنند هکرهای حیلهگر ابتدا بدافزاری خطرناک را نوشتند، مدتهای زیادی با تلاش بسیار راهی یافتند برای هک شرکت و در نهایت توانستند دادههای محرمانه آن را رمزگذاری کنند. از این رو برخی صاحبان کسب و کار هنوز هم خود را اینطور توجیه میکنند که شرکتشان آنقدرها هم جذاب نیست که مهاجمین بخواهند کلی وقت و انرژی و منابع برای هک کردن آن خرج کنند. اما در واقعیت ماجرا چیز دیگریست. با ما همراه بمانید.
مهاجم مدرن در حقیقت خودش بدافزار را نمینویسد بلکه اجاره میکند و منابع زیادی هم صرف هک نمیکند- فقط به بازار سیاه رفته و از دلالان دسترسی اوله کمک میگیرد. متخصصین سرویس Digital Footprint Intelligence ما تصمیم گرفتهاند پی ببرند زمانیکه مجرمان سایبری دسترسی به زیرساخت شرکت را خرید و فروش میکنند چقدر پول رد و بدل میشود.
هزینه دسترسی چند؟
سوال این است که مهاجمین موقع خرید دسترسی به زیرساخت شما چقدر هزینه میکنند؟ این البته به عوامل بسیاری بستگی دارد اما مهمترین آن درآمد شرکتتان است. متخصصین ما بعد از تحلیل دویست آگهی در دارکنت به نتایج زیر رسیدند:
- بیشتر آگهیها دسترسی به شرکتهای کوچک را میدهند.
- تقریباً نیمی از آگهیها دسترسی را به قیمتی کمتر از 1000 دلار میفروشند.
- مواردی که در آن دسترسی بیش از 5000 دلار فروخته شود نادر است.
- متوسط هزینه دسترسی به شرکتهای بزرگ بین 2000 تا 4000 دلار است.
مطمئناً این هزینهها خیلی هم بالا نیست اما عاملین باجافزار انتظار دارند بعد از تلاشهایشان در بخش بلکمیل بتوانند مقادیر بسی بیشتر را سرقت کنند. برای همین خیلی هزینه صرف دسترسی اولیه نمیکنند. به نظر میرسد این قیمت بازاری است که از طریق عرضه تقاضای ارگانیک و قدرت خرید شناختهشده به طور گسترده تعیین شده است.
چه چیزهایی برای فروش گذاشته میشود؟
مهاجمین انواع مختلفی از دسترسی را ارائه میدهند. برخیاوقات اطلاعاتی است مربوط به آسیبپذیری که میشود برای دسترسی اکسپلویتش کرد. برخی اوقات هم اطلاعات محرمانهای است برای دسترسی به Citrix با پنل میزبانی سایت. اما در اکثر مواقع (بیش از 75 درصد آگهیها) انواعی از دسترسی از طریق RDP (یک وقتهایی در رابطه با ویپیان) ارائه شده بود. بر این اساس، میبایست با این گزینه دسترسی ریموت به زیرساخت باید توجه و وسواس بیشتری برخورد کرد.
مجرمان کجا دسترسی را از آن خود میکنند؟
برای به دست آوردن دسترسی اولیه گزینههای بسیاری وجود دارد. برخیاوقات مجرمان سایبری از سادهترین روش استفاده میکنند: ماین کردن پسورد. اما اغلب آنها ایمیلهای فیشینگ را به کارمندان میفرستند یا ایمیلهایی میفرستند با پیوستهای آلوده (جاسوسافزار یا برای مثال استیلر[1] که بطور خودکار اطلاعات محرمانه، توکنهای مجوز، کوکیها و غیره را از دستگاههای آلودهشده جمعاوری میکند). برخیاوقات مهاجمین همچنین آسیبپذیریهای شناختهشده را در نرمافزار پیش از اینکه ادمین آنها را پچ کند اکسپلویت میکنند.
راهکارهای امنیتی
از آنجایی که اغلب سوژه فروش دسترسی ریموت به زیرساخت شرکت از طریق RDP است تأکید داریم اول از همه محافظت شود. متخصصین ما در همین راستا چندین توصیه امنیتی ارائه دادهاند:
- سازماندهی دسترسی RDP فقط از طریق ویپیان
- استفاده از پسوردهای قوی استفاده از Network Level Authentication (در صورت امکان)
- استفاده از احراز هویت دو عاملی برای همه سرویسهای مهم
برای ساخت پسوردی که کمتر احتمال رود از طریق فیشینگ نشت میشود همچنین توصیه میکنیم از راهکارهای امنیتی قابلاعتمادی استفاده کنید که به موتور ضد فیشینگ هم برای دستگاه کارمند و هم در سطح گیتوی ایمیل مجهز باشد. همچنین برای رعایت جانب احتیاط به صورت دورهای آگاهی پرسنل خود را نسبت به امنیت سایبری افزایش دهید. افزون بر این بسیار مهم است بدانید آیا کسی از دسترسی به زیرساخت در دارکنت شرکتتان حرفی زده یا نه. نظارت بر چنین فعالیتهایی بسیار کمککننده است. سرویس Digital Footprint Intelligence ما در حقیقت همین کار را برایتان انجام خواهد داد.
[1] Stealer
منبع: کسپرسکی آنلاین (ایدکو)
کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز میشناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.
