روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ وقتی باج‌افزار به شبکه‌ی سازمانی رخنه می‌کند، معمولاً این کار را از طریق ایمیل، آسیب‌پذیری‌های نرم‌افزاری یا کانکشن‌های ریموت محافظت‌نشده انجام می‌دهد. اینکه یک فرد داخل سازمانی تعمداً این کار را کرده باشد بعید به نظر می‌رسد. با این حال آنطور که شواهد نشان می‌دهد برخی از مهاجمین گمان می‌کنند متود تحویل باج‌افزار مؤثر است و برخی دیگر از مهاجمین هم‌اکنون دارند با پیشنهاد درصدی از باج، کارمندان شرکت‌ها را می‌خرند! با ما همراه بمانید.

یک نقشه ارسال باج‌افزار خلاقانه

هرچند ممکن است خیلی ابزورد به نظر برسد اما برخی از طریق اسپم دنبال همدست می‌گردند. برای مثال، یک پیام مستقیماً به هرکسی که دوست دارد باج‌افزار DemonWare را روی ویندوز سرور اصلی شرکت نصب و اجرا کند 40 درصد کمیسیون می‌دهد (1 میلیون بیت‌کوین). محققینی که خود را به هیبت همدستان درآورده بودند لینکی به یک فایل دریافت کردند به همراه دستورالعمل‌هایی برای اجرای بدافزار. با این حال، فرد که در پس این میلینگ بود ظاهراً کلاهبرداری ناشی بوده و برای همین محققین برای حرف زدن با او به دردسر نیافتادند. عامل تهدید مربوطه مردی جوان اهل نیجریه بود که در لینکدین به دنبال ارتباط‌گیری با مدیران ارشد بود. او وقتی دید سیستم‌های امنیت سایبری سازمانی چقدر قوی است برنامه اصلی خودش را که ایمیل کردن بدافزار بود رها کرد.

کجای نقشه می‌لنگد؟

عامل تهدید به منظور متقاعد کردن تارگت‌های خود در مورد اینکه شرکت کردنشان در نهایت امنیت انجام می‌شود ادعا کرده بود باج‌افزار همه شواهد جرم را پاک خواهد کرد از جمله هر گونه فیلم امنیتی احتمالی. همچنین توصیه هم کرده بود که برای جلوگیری از هر گونه سرنخ، فایل ‌قابل‌اجرا را پاک می‌کند. ممکن است فرد احتمال دهد که مجرم می‌خواسته همدستان خود را ردیابی کند –مسلماً وقتی سرور رمزگذاری شده بوده دیگر برای او اهمیتی نداشته چه بر سر فردی می‌آمده که انجامش داده بوده- اما انگار نمی‌دانسته که تحقیقات دیجیتالی چطور انجام می‌شوند. تصمیم بر استفاده از  DemonWare علاوه بر ناشی بودنش به باخت او کمک کرد. گرچه مهاجمین هنوز هم از  DemonWare استفاده می‌کنند اما در واقع آن یک بدافزار عاری از هرگونه پیچیدگی است که کد منبع آن در GitHub موجود است. سازنده این بدافزار ظاهراً آن را برای این ساخته که نشان دهد چقدر راحت می‌شد باج‌افزار نوشت!

راهکارهای امنیتی

شاید احتمال وقوع سناریوی فوق کم باشد اما اینکه کسی دسترسی به سیستم اطلاعاتی سازمان را بفروشد به مراتب احتمال بیشتری دارد. بازار برای دسترسی به شبکه‌های سازمانی همیشه در دارک‌وب شور و شوقی به راه می‌اندازد و باجگیران هم اغلب از سایر مجرمان سایبری اینجور دسترسی‌ها را می‌خرند (اینجور افراد را می‌گویند کارگزاران اولیه دسترسی). آن‌ها هستند که مشخصاً به خرید داده برای دسترسی ریموت به شبکه سازمانی برای سرورهای کلود علاقه دارند. تبلیغات برای چنین خریدهایی که در حقیقت کارمندان اخراج‌شده یا ناراضی را مورد هدف خود قرار می‌دهد در کل دارک‌وب دیده می‌شود. از این رو توصیه می‌کنیم:

•         استراتژی کمترین مزیت را اتخاذ کنید.
•         حواستان به آمار اقدام به دسترسی به شبکه سازمانی و سرورها باشد؛ همچنین وقتی کارمندان اخراج می‌شوند حقوقشان را لغو کرده و پسوردها را تغییر دهید.
•         روی هر سرور، راهکارهای امنیتی را نصب کنید که بتوانند با بدافزارهای مدرن مبارزه کنند.
•         از راهکارهای  Managed Detection and Response استفاده کنید که قادرند پیش از اینکه مهاجمین شانس این را پیدا کنند که آسیب جدی وارد کنند فعالیت مشکوک در زیرساخت شما را شناسایی کنند.

منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.