روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ حمله باج‌افزاری اخیر به Colonial Pipeline–شرکتی که مدیریت شبکه لوله‌کشی و تأمین سوخت بخش اعظمی از ساحل شرقی آمریکا را بر عهده دارد- یکی از بزرگ‌ترین حملات در حافظه جمعی است. جزئیات این حمله –به طور قابل درکی- عمومی‌سازی نشده است؛ اما گوشه‌ای از داده‌ها راه خود را به رسانه پیدا کرده‌اند. در ادامه با ما همراه شوید تا بررسی کنیم چطور این شرکت بعد از این حمله‌ی باج‌افزاری توانست اوضاع و شرایط خود را مدیریت کند.

می‌توان از این رخداد درسی گرفت: بلافاصبه اطلاع دادن به نیروی اجرای قانون می‌تواند میزان خسارت را کاهش دهد. البته که هر کسی هم این حق انتخاب را ندارد- در برخی موارد قربانیان مجبور می‌شوند به رگولاتورها اطلاع دهند. با این حال، حتی جایی هم که الزامی در کار نیست باز چنین حرکتی می‌تواند میسر و مفید واقع شود.

حمله

در تاریخ 7 می، باج‌افزاری به Colonial Pipeline–که بزرگ‌ترین شرکت انتقال سوخت ساحل شرقی آمریکاست- حمله کرد. کارمندان مجبور شدند برخی سیستم‌های اطلاعاتی خود را خاموش کنند؛ زیرا یک سری از کامپیوترها رمزگذاری شده بودند و برخی دیگر هم به این علت خاموش شدند تا از توزیع بدافزار و ابتلای بیشتر کامپیوترها جلوگیری گردد. این به تأخیر تأمین سوخت در کل ساحل شرقی آمریکا منجر شد (که در ادامه افزایش 4 درصدی در قیمت آتی بنزین را موجب خواهد شد). شرکت مذکور به منظور تقلیل میزان خسارت تصمیم می‌گیرد به افزایش تحویل‌های سوختی.

پیگیری‌های قضایی

عاملین باج‌افزارهای مدرن نه تنها داده‌ها را رمزگذاری و برای رمزگشایی آن‌ها باج می‌خواهند که همچنین برای تشدید میزان باج خود همچنین اطلاعات را نیز سرقت می‌کنند. اتفاقی که در مورد  Colonial Pipeline افتاد این بود که مهاجمین چیزی حدود 100 گیگابایت را از شبکه سازمانی  استخراج کردند. با این حال، به نقل از واشنگتن پست، بازرسین خارجی این رخداد به سرعت متوجه اتفاقی که افتاده شدند و جای اطلاعات سرقت‌شده را نیز یافتند. سپس با سازمان اف‌بی‌آی تماس گرفتند. نیروهای اف‌بی‌آی نیز از طرفی سروقت ISP که صاحب سرور دارنده اطلاعات آپلودشده بود رفتند و آن را جداسازی/ایزوله کردند. در نتیجه مجرمان سایبری ممکن بود دسترسی خود را به اطلاعاتی که از Colonial Pipeline دزدیده بودند از دست بدهند؛ این اقدام سریع دست‌کم تا حدی توانست میزان خسارت را به این سازمان کم کند. شاید این اقدام نتوانست شرکت را مثل روز اول سر پا کند اما اگر همین کار هم صورت نمی‌گرفت عواقب آن ابعاد به مراتب وسیع‌تری پیدا می‌کرد.

دست‌های پشت پرده  

اینطور به نظر می‌رسد که باج‌افزار DarkSide به این شرکت حمله کرده باشد. این گروه باج‌افزاری هم روی ویندوز و هم محصولات کسپرسکی به عنوان بدافزار مدل Trojan-Ransom.Win32.Darkside و Trojan-Ransom.Linux.Darkside شناخته می‌شود. DarkSide از الگوریتم‌های قوی رمزگذاری استفاده می‌کند و بدون داشتن رمز درست بازیابی اطلاعات محال است. در ظاهر، گروه DarkSide شبیه به یک ارائه‌دهنده‌ی سرویس آنلاین است که به مرکز مشاوره، دپارتمان روابط عمومی و مرکز مطبوعاتی مجهز است. یادداشت روی وبسایت مهاجمین می‌گوید انگیزه‌ی آن‌ها برای این حمله مالی بوده و مقصود سیاسی در کار نبوده است.

گروه DarkSide از مدل باج‌افزار در قالب سرویس[1] استفاده می‌کند؛ مدلی که نرم‌افزار و زیرساخت مربوطه به شرکا ارائه می‌دهد تا بدین‌طریق بتوانند حملات خود را پیش ببرند. یکی از این شرکا مسئولیت هدف‌گیری شرکت Colonial Pipeline را داشته. به نقل از دارک‌ساید، این گروه قصد به جای گذاشتن خسارات جدی به این شرکت را نداشته و از این رو بسیار در انتخاب قربانیان خود دقت کرده است. با این حال نمی‌شود این ادعا را به این راحتی‌ها قبول کرد زیرا می‌دانید که لیست ترفندهای مجرمان سایبری بلندبالاست!

راهکارهای امنیتی

به منظور محافظت از شرکت خود در برابر حملات باج‌افزاری توصیه می‌کنیم:

• نگذارید سرویس‌های ریموت دسکتاپ ( نظیر RDP) با شبکه‌های اینترنتی عمومی کانکشن‌های غیرضروری داشته باشند. همیشه برای چنین سرویس‌هایی از پسوردهای قوی استفاده کنید.
• برای راهکارهای وی‌پی‌ان که برای کانکت کردن کارکنان ریموت به شبکه سازمانی استفاده می‌کنید هر نوع پچ موجود را نصب نمایید.
• برای جلوگیری از اکسپلویتِ آسیب‌پذیری‌ها نرم‌افزار‌های روی همه دستگاه‌های کانکتد را آپدیت کنید.
• تمرکز استراتژی دفاع خود را روی شناسایی حرکت بعدی و استخراج داده بگذارید؛ در عین حال حواس خود را به همه ترافیک‌های خروجی هم بدهید.
• مرتباً از داده‌های خود بک‌آپ بگیرید و مطمئن شوید در صورت اضطرار به بک‌آپ‌ها دسترسی دارید.
• برای آپدیت ماندن روی تاکتیک‌های حمله، تکنیک‌ها و روندهای تهاجم مجرمان سایبری به داده‌های هوش تهدید[2] نفوذ کنید.
• از راهکارهای امنیتی چون Kaspersky Endpoint Detection and Response و Kaspersky Managed Detection and Response–که به متوقف‌سازی حمله‌ها در همان مراحل اولیه کمک می‌کنند- استفاده کنید.
• به کارمندان خود در خصوص امنیت محیط سازمانی آموزش دهید.
• از راهکار قابل‌اطمینان برای محافظت اندپوینت استفاده کنید؛ چنین راهکار محافظتی‌ای با اکسپلویت‌ها مبارزه کرده و رفتار نابهنجار را شناسایی می‌کند. همچنین می‌تواند تغییرات آلوده را بی‌اثر کند و سیستم را ریستور.

Colonial Pipeline نمونه‌ای است که نشان می‌دهد تماس به مقامات قانونی و قضایی در چنین مواقعی تا چه حد می‌تواند اهمیت داشته باشد. البته این را هم بگوییم که چنین کاری تضمین صد در صدی نمی‌دهد اما می‌تواند میزان خسارت واردآمده را کاهش دهد.

[1] ransomware-as-a-service

[2] threat intelligence data

منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.