روابط عمومی شرکت ایدکو (توزیعکنندهی محصولات کسپرسکی در ایران)؛ وقتی باجافزار به شبکهی سازمانی رخنه میکند، معمولاً این کار را از طریق ایمیل، آسیبپذیریهای نرمافزاری یا کانکشنهای ریموت محافظتنشده انجام میدهد. اینکه یک فرد داخل سازمانی تعمداً این کار را کرده باشد بعید به نظر میرسد. با این حال آنطور که شواهد نشان میدهد برخی از مهاجمین گمان میکنند متود تحویل باجافزار مؤثر است و برخی دیگر از مهاجمین هماکنون دارند با پیشنهاد درصدی از باج، کارمندان شرکتها را میخرند! با ما همراه بمانید.
یک نقشه ارسال باجافزار خلاقانه
هرچند ممکن است خیلی ابزورد به نظر برسد اما برخی از طریق اسپم دنبال همدست میگردند. برای مثال، یک پیام مستقیماً به هرکسی که دوست دارد باجافزار DemonWare را روی ویندوز سرور اصلی شرکت نصب و اجرا کند 40 درصد کمیسیون میدهد (1 میلیون بیتکوین). محققینی که خود را به هیبت همدستان درآورده بودند لینکی به یک فایل دریافت کردند به همراه دستورالعملهایی برای اجرای بدافزار. با این حال، فرد که در پس این میلینگ بود ظاهراً کلاهبرداری ناشی بوده و برای همین محققین برای حرف زدن با او به دردسر نیافتادند. عامل تهدید مربوطه مردی جوان اهل نیجریه بود که در لینکدین به دنبال ارتباطگیری با مدیران ارشد بود. او وقتی دید سیستمهای امنیت سایبری سازمانی چقدر قوی است برنامه اصلی خودش را که ایمیل کردن بدافزار بود رها کرد.
کجای نقشه میلنگد؟
عامل تهدید به منظور متقاعد کردن تارگتهای خود در مورد اینکه شرکت کردنشان در نهایت امنیت انجام میشود ادعا کرده بود باجافزار همه شواهد جرم را پاک خواهد کرد از جمله هر گونه فیلم امنیتی احتمالی. همچنین توصیه هم کرده بود که برای جلوگیری از هر گونه سرنخ، فایل قابلاجرا را پاک میکند. ممکن است فرد احتمال دهد که مجرم میخواسته همدستان خود را ردیابی کند –مسلماً وقتی سرور رمزگذاری شده بوده دیگر برای او اهمیتی نداشته چه بر سر فردی میآمده که انجامش داده بوده- اما انگار نمیدانسته که تحقیقات دیجیتالی چطور انجام میشوند. تصمیم بر استفاده از DemonWare علاوه بر ناشی بودنش به باخت او کمک کرد. گرچه مهاجمین هنوز هم از DemonWare استفاده میکنند اما در واقع آن یک بدافزار عاری از هرگونه پیچیدگی است که کد منبع آن در GitHub موجود است. سازنده این بدافزار ظاهراً آن را برای این ساخته که نشان دهد چقدر راحت میشد باجافزار نوشت!
راهکارهای امنیتی
شاید احتمال وقوع سناریوی فوق کم باشد اما اینکه کسی دسترسی به سیستم اطلاعاتی سازمان را بفروشد به مراتب احتمال بیشتری دارد. بازار برای دسترسی به شبکههای سازمانی همیشه در دارکوب شور و شوقی به راه میاندازد و باجگیران هم اغلب از سایر مجرمان سایبری اینجور دسترسیها را میخرند (اینجور افراد را میگویند کارگزاران اولیه دسترسی). آنها هستند که مشخصاً به خرید داده برای دسترسی ریموت به شبکه سازمانی برای سرورهای کلود علاقه دارند. تبلیغات برای چنین خریدهایی که در حقیقت کارمندان اخراجشده یا ناراضی را مورد هدف خود قرار میدهد در کل دارکوب دیده میشود. از این رو توصیه میکنیم:
- استراتژی کمترین مزیت را اتخاذ کنید.
- حواستان به آمار اقدام به دسترسی به شبکه سازمانی و سرورها باشد؛ همچنین وقتی کارمندان اخراج میشوند حقوقشان را لغو کرده و پسوردها را تغییر دهید.
- روی هر سرور، راهکارهای امنیتی را نصب کنید که بتوانند با بدافزارهای مدرن مبارزه کنند.
- از راهکارهای Managed Detection and Response استفاده کنید که قادرند پیش از اینکه مهاجمین شانس این را پیدا کنند که آسیب جدی وارد کنند فعالیت مشکوک در زیرساخت شما را شناسایی کنند.
منبع: کسپرسکی آنلاین (ایدکو)
کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز میشناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.
