چطور شرکت Colonial Pipeline بدافزاری را که بدان حمله کرده بود مدیریت کرد؟

26 اردیبهشت 1400 چطور شرکت Colonial Pipeline بدافزاری را که بدان حمله کرده بود مدیریت کرد؟

روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ حمله باج‌افزاری اخیر به Colonial Pipeline–شرکتی که مدیریت شبکه لوله‌کشی و تأمین سوخت بخش اعظمی از ساحل شرقی آمریکا را بر عهده دارد- یکی از بزرگ‌ترین حملات در حافظه جمعی است. جزئیات این حمله –به طور قابل درکی- عمومی‌سازی نشده است؛ اما گوشه‌ای از داده‌ها راه خود را به رسانه پیدا کرده‌اند. در ادامه با ما همراه شوید تا بررسی کنیم چطور این شرکت بعد از این حمله‌ی باج‌افزاری توانست اوضاع و شرایط خود را مدیریت کند.

می‌توان از این رخداد درسی گرفت: بلافاصبه اطلاع دادن به نیروی اجرای قانون می‌تواند میزان خسارت را کاهش دهد. البته که هر کسی هم این حق انتخاب را ندارد- در برخی موارد قربانیان مجبور می‌شوند به رگولاتورها اطلاع دهند. با این حال، حتی جایی هم که الزامی در کار نیست باز چنین حرکتی می‌تواند میسر و مفید واقع شود.

حمله

در تاریخ 7 می، باج‌افزاری به Colonial Pipeline–که بزرگ‌ترین شرکت انتقال سوخت ساحل شرقی آمریکاست- حمله کرد. کارمندان مجبور شدند برخی سیستم‌های اطلاعاتی خود را خاموش کنند؛ زیرا یک سری از کامپیوترها رمزگذاری شده بودند و برخی دیگر هم به این علت خاموش شدند تا از توزیع بدافزار و ابتلای بیشتر کامپیوترها جلوگیری گردد. این به تأخیر تأمین سوخت در کل ساحل شرقی آمریکا منجر شد (که در ادامه افزایش 4 درصدی در قیمت آتی بنزین را موجب خواهد شد). شرکت مذکور به منظور تقلیل میزان خسارت تصمیم می‌گیرد به افزایش تحویل‌های سوختی.

پیگیری‌های قضایی

عاملین باج‌افزارهای مدرن نه تنها داده‌ها را رمزگذاری و برای رمزگشایی آن‌ها باج می‌خواهند که همچنین برای تشدید میزان باج خود همچنین اطلاعات را نیز سرقت می‌کنند. اتفاقی که در مورد  Colonial Pipeline افتاد این بود که مهاجمین چیزی حدود 100 گیگابایت را از شبکه سازمانی  استخراج کردند. با این حال، به نقل از واشنگتن پست، بازرسین خارجی این رخداد به سرعت متوجه اتفاقی که افتاده شدند و جای اطلاعات سرقت‌شده را نیز یافتند. سپس با سازمان اف‌بی‌آی تماس گرفتند. نیروهای اف‌بی‌آی نیز از طرفی سروقت ISP که صاحب سرور دارنده اطلاعات آپلودشده بود رفتند و آن را جداسازی/ایزوله کردند. در نتیجه مجرمان سایبری ممکن بود دسترسی خود را به اطلاعاتی که از Colonial Pipeline دزدیده بودند از دست بدهند؛ این اقدام سریع دست‌کم تا حدی توانست میزان خسارت را به این سازمان کم کند. شاید این اقدام نتوانست شرکت را مثل روز اول سر پا کند اما اگر همین کار هم صورت نمی‌گرفت عواقب آن ابعاد به مراتب وسیع‌تری پیدا می‌کرد.

دست‌های پشت پرده  

اینطور به نظر می‌رسد که باج‌افزار DarkSide به این شرکت حمله کرده باشد. این گروه باج‌افزاری هم روی ویندوز و هم محصولات کسپرسکی به عنوان بدافزار مدل Trojan-Ransom.Win32.Darkside و Trojan-Ransom.Linux.Darkside شناخته می‌شود. DarkSide از الگوریتم‌های قوی رمزگذاری استفاده می‌کند و بدون داشتن رمز درست بازیابی اطلاعات محال است. در ظاهر، گروه DarkSide شبیه به یک ارائه‌دهنده‌ی سرویس آنلاین است که به مرکز مشاوره، دپارتمان روابط عمومی و مرکز مطبوعاتی مجهز است. یادداشت روی وبسایت مهاجمین می‌گوید انگیزه‌ی آن‌ها برای این حمله مالی بوده و مقصود سیاسی در کار نبوده است.

گروه DarkSide از مدل باج‌افزار در قالب سرویس[1] استفاده می‌کند؛ مدلی که نرم‌افزار و زیرساخت مربوطه به شرکا ارائه می‌دهد تا بدین‌طریق بتوانند حملات خود را پیش ببرند. یکی از این شرکا مسئولیت هدف‌گیری شرکت Colonial Pipeline را داشته. به نقل از دارک‌ساید، این گروه قصد به جای گذاشتن خسارات جدی به این شرکت را نداشته و از این رو بسیار در انتخاب قربانیان خود دقت کرده است. با این حال نمی‌شود این ادعا را به این راحتی‌ها قبول کرد زیرا می‌دانید که لیست ترفندهای مجرمان سایبری بلندبالاست!

راهکارهای امنیتی

به منظور محافظت از شرکت خود در برابر حملات باج‌افزاری توصیه می‌کنیم:

  • نگذارید سرویس‌های ریموت دسکتاپ ( نظیر RDP) با شبکه‌های اینترنتی عمومی کانکشن‌های غیرضروری داشته باشند. همیشه برای چنین سرویس‌هایی از پسوردهای قوی استفاده کنید.
  • برای راهکارهای وی‌پی‌ان که برای کانکت کردن کارکنان ریموت به شبکه سازمانی استفاده می‌کنید هر نوع پچ موجود را نصب نمایید.
  • برای جلوگیری از اکسپلویتِ آسیب‌پذیری‌ها نرم‌افزار‌های روی همه دستگاه‌های کانکتد را آپدیت کنید.
  • تمرکز استراتژی دفاع خود را روی شناسایی حرکت بعدی و استخراج داده بگذارید؛ در عین حال حواس خود را به همه ترافیک‌های خروجی هم بدهید.
  • مرتباً از داده‌های خود بک‌آپ بگیرید و مطمئن شوید در صورت اضطرار به بک‌آپ‌ها دسترسی دارید.
  • برای آپدیت ماندن روی تاکتیک‌های حمله، تکنیک‌ها و روندهای تهاجم مجرمان سایبری به داده‌های هوش تهدید[2] نفوذ کنید.
  • از راهکارهای امنیتی چون Kaspersky Endpoint Detection and Response و Kaspersky Managed Detection and Response–که به متوقف‌سازی حمله‌ها در همان مراحل اولیه کمک می‌کنند- استفاده کنید.
  • به کارمندان خود در خصوص امنیت محیط سازمانی آموزش دهید.
  • از راهکار قابل‌اطمینان برای محافظت اندپوینت استفاده کنید؛ چنین راهکار محافظتی‌ای با اکسپلویت‌ها مبارزه کرده و رفتار نابهنجار را شناسایی می‌کند. همچنین می‌تواند تغییرات آلوده را بی‌اثر کند و سیستم را ریستور.

Colonial Pipeline نمونه‌ای است که نشان می‌دهد تماس به مقامات قانونی و قضایی در چنین مواقعی تا چه حد می‌تواند اهمیت داشته باشد. البته این را هم بگوییم که چنین کاری تضمین صد در صدی نمی‌دهد اما می‌تواند میزان خسارت واردآمده را کاهش دهد.

 

 

[1] ransomware-as-a-service

[2] threat intelligence data

 

منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.

محصولات مرتبط

  • Kaspersky Internet Security

    ایمن بمانید- هرآنچه در محل کار و خانه انجام می‌دهید هرآنچه در محیط آنلاین انجام می‌دهید- روی دستگاه‌های پی‌سی، مک و اندروید- بسته‌ی امنیتی پیشرفته و تک‌لایسنسیِ ما به شما کمک ...

    5,400,535 ریال7,715,050 ریال
    خرید
  • Kaspersky Internet Security for Android

    امنیت پیشرفته‌ای که همیشه همراه شماست بخش مهمی از زندگی اکثر ما اکنون روی گوشی‌ها و تبلت‌هاست- پس به امنیت موبایلی نیاز دارید که شما را همیشه امن نگه ...

    2,570,050 ریال
    خرید
  • Kaspersky Total Security

    قوی‌ترین و پرفروش‌ترین مجموعه‌‌ امنیتی ما امنیت خانواده چنددستگاهه مجهز به آنتی‌ویروس، ضدباج‌افزار، امنیت وبکم، مدیر کلمه‌عبور و 87 فناوری دیگر، همگی با یک لایسنس. ...

    6,172,530 ریال10,287,550 ریال
    خرید
  • Kaspersky Cloud Password Manager

    Kaspersky Cloud Password Manager ابزار مدیریت کلمه عبور ابری کسپرسکی (KCPM) ضمن ذخیره ایمن تمامی کلمات عبور مورد استفاده شما برای وبسایت‌ها، اپلیکیشن‌ها، و شبکه‌های اجتماعی آنها را در تمامی ...

    3,856,300 ریال
    خرید
  • Kaspersky Safe Kids

    شما می توانید بر ارتباطات اینترنتی کودکان از قبیل فعالیتهای عمومی در فیسبوک، کنترل تماسها و پیامها از طریق دستگاههای اندرویدی نظارت داشته باشید. کمک شما به کودکان بهترین راهنمایی برای آنها ...

    3,856,300 ریال
    خرید
  • Kaspersky Antivirus

    بهترین آنتی‌ویروس ما برای ویندوز پی‌سی شما جدیدترین ویروس‌ها، باج افزارها، جاسوس‌افزارها، رمزگرها و غیره را بلاک کرده و کمک می‌کند جلوی بدافزار ماینینگِ رمزارز -که به ...

    5,142,550 ریال
    خرید
  • Kaspersky Small Office Security

    محافظت در حین کار Kaspersky Small Office Security به طور خاص برای سازمان‌هایی طراحی شده است که 5 تا 25 دستگاه کامپیوتر در خود جای داده‌اند. نصب آن بسیار آسان است؛ مدیریت آن ...

    9,261,000 ریال
    خرید

نظر خودتان را ارسال کنید


کاربر گرامی چنانچه تمایل دارید، نقد یا نظر شما به نام خودتان در سایت ثبت شود، لطفاً وارد سایت شوید.
*نظر
کلیه حقوق مادی و معنوی این سایت محفوظ و متعلق به شرکت گسترش خدمات تجارت الکترونیک ایرانیان است و هر گونه کپی برداری از آن پیگرد قانونی دارد