روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ وقتی رسانه‌ها در مورد شرکتی که توسط باج‌افزار مورد حمله قرار گرفته گزارش می‌دهند بسیاری تصور می‌کنند هکرهای حیله‌گر ابتدا بدافزاری خطرناک را نوشتند، مد‌ت‌های زیادی با تلاش بسیار راهی یافتند برای هک شرکت و در نهایت توانستند داده‌های محرمانه آن را رمزگذاری کنند. از این رو برخی صاحبان کسب و کار هنوز هم خود را اینطور توجیه می‌کنند که شرکت‌شان آنقدرها هم جذاب نیست که مهاجمین بخواهند کلی وقت و انرژی و منابع برای هک کردن آن خرج کنند. اما در واقعیت ماجرا چیز دیگریست. با ما همراه بمانید.

مهاجم مدرن در حقیقت خودش بدافزار را نمی‌نویسد بلکه اجاره می‌کند و منابع زیادی هم صرف هک نمی‌کند- فقط به بازار سیاه رفته و از دلالان دسترسی اوله کمک می‌گیرد. متخصصین سرویس Digital Footprint Intelligence ما تصمیم گرفته‌اند پی ببرند زمانیکه مجرمان سایبری دسترسی به زیرساخت شرکت را خرید و فروش می‌کنند چقدر پول رد و بدل می‌شود.

هزینه دسترسی چند؟

سوال این است که مهاجمین موقع خرید دسترسی به زیرساخت شما چقدر هزینه می‌کنند؟ این البته به عوامل بسیاری بستگی دارد اما مهمترین آن درآمد شرکت‌تان است. متخصصین ما بعد از تحلیل دویست آگهی در دارک‌نت به نتایج زیر رسیدند:

• بیشتر آگهی‌ها دسترسی به شرکت‌های کوچک را می‌دهند.
• تقریباً نیمی از آگهی‌ها دسترسی را به قیمتی کمتر از 1000 دلار می‌فروشند.
• مواردی که در آن دسترسی بیش از 5000 دلار فروخته شود نادر است.
• متوسط هزینه دسترسی به شرکت‌های بزرگ بین 2000 تا 4000 دلار است.

مطمئناً این هزینه‌ها خیلی هم بالا نیست اما عاملین باج‌افزار انتظار دارند بعد از تلاش‌هایشان در بخش بلک‌میل بتوانند مقادیر بسی بیشتر را سرقت کنند. برای همین خیلی هزینه صرف دسترسی اولیه نمی‌کنند. به نظر می‌رسد این قیمت بازاری است که از طریق عرضه تقاضای ارگانیک و قدرت خرید شناخته‌شده به طور گسترده تعیین شده است.

چه چیزهایی برای فروش گذاشته می‌شود؟

مهاجمین انواع مختلفی از دسترسی را ارائه می‌دهند. برخی‌اوقات اطلاعاتی است مربوط به آسیب‌پذیری که می‌شود برای دسترسی اکسپلویتش کرد. برخی اوقات هم اطلاعات محرمانه‌ای است برای دسترسی به Citrix با پنل میزبانی سایت. اما در اکثر مواقع (بیش از 75 درصد آگهی‌ها) انواعی از دسترسی از طریق RDP (یک وقت‌هایی در رابطه با وی‌پی‌ان) ارائه شده بود. بر این اساس، می‌بایست با این گزینه دسترسی ریموت به زیرساخت باید توجه و وسواس بیشتری برخورد کرد.

مجرمان کجا دسترسی را از آن خود می‌کنند؟

برای به دست آوردن دسترسی اولیه گزینه‌های بسیاری وجود دارد. برخی‌اوقات مجرمان سایبری از ساده‌ترین روش استفاده می‌کنند: ماین کردن پسورد. اما اغلب آن‌ها ایمیل‌های فیشینگ را به کارمندان می‌فرستند یا ایمیل‌هایی می‌فرستند با پیوست‌های آلوده (جاسوس‌افزار یا برای مثال استیلر[1] که بطور خودکار اطلاعات محرمانه، توکن‌های مجوز، کوکی‌ها و غیره را از دستگاه‌های آلوده‌شده جمع‌اوری می‌کند). برخی‌اوقات مهاجمین همچنین آسیب‌پذیری‌های شناخته‌شده را در نرم‌افزار پیش از اینکه ادمین آن‌ها را پچ کند اکسپلویت می‌کنند.

راهکارهای امنیتی

از آنجایی که اغلب سوژه فروش دسترسی ریموت به زیرساخت شرکت از طریق RDP است تأکید داریم اول از همه محافظت شود. متخصصین ما در همین راستا چندین توصیه امنیتی ارائه داده‌اند:

• سازماندهی دسترسی RDP فقط از طریق وی‌پی‌ان
• استفاده از پسوردهای قوی استفاده از Network Level Authentication (در صورت امکان)
• استفاده از احراز هویت دو عاملی برای همه سرویس‌های مهم

برای ساخت پسوردی که کمتر احتمال رود از طریق فیشینگ نشت میشود همچنین توصیه می‌کنیم از راهکارهای امنیتی قابل‌اعتمادی استفاده کنید که به موتور ضد فیشینگ هم برای دستگاه کارمند و هم در سطح گیت‌وی ایمیل مجهز باشد. همچنین برای رعایت جانب احتیاط به صورت دوره‌ای آگاهی پرسنل خود را نسبت به امنیت سایبری افزایش دهید. افزون بر این بسیار مهم است بدانید آیا کسی از دسترسی به زیرساخت در دارک‌نت شرکت‌تان حرفی زده یا نه. نظارت بر چنین فعالیت‌هایی بسیار کمک‌کننده است. سرویس  Digital Footprint Intelligence ما در حقیقت همین کار را برایتان انجام خواهد داد.

[1] Stealer

منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.