مرکز مدیریت راهبردی افتا، اعلام کرد: بررسی‌های اولیه در آزمایشگاه این مرکز نشان می‌دهد که مبدا اصلی حمله اخیر باج‌افزاری، اجرای یک کد پاورشل از روی یکی از سرورهای DC بوده است.

بنابر اعلام مرکز مدیریت راهبردی افتای ریاست جمهوری، در پی بروز یک حادثه باج‌افزاری در یکی از زیرساخت‌های حیاتی در ماه گذشته، تیم پاسخ به حادثه مرکز افتا ضمن حضور در محل این سازمان و بررسی شواهد حادثه، به کمک کارشناسان همان سازمان، اقدامات لازم را برای مدیریت حادثه انجام داده است.

اقدامات مهاجمین به گونه‌ای بوده است که بعضی از فایل‌هایِ اکثر کلاینت‌ها و سرورهای متصل به دامنه، دچار تغییر شده‌اند به نحوی که برخی از فایل‌ها فقط پسوندشان تغییر یافته، برخی دیگر فقط بخشی از فایل و بعضی دیگر بطور کامل رمز شده‌اند.

بررسی‌های اولیه در آزمایشگاه مرکز افتا نشان می‌دهد که مبدا اصلی حملات، اجرای یک کد پاورشل از روی یکی از سرورهای DC سازمان بوده است. اما هنوز نحوه نفوذ به این سرورها مشخص نیست ولی شواهدی مبنی بر سوءاستفاده از آسیب پذیری Zero logon در سرورها وجود دارد.

این حمله به صورت File-less، بدون اجرای هیچ فایلی روی سیستم‌های قربانیان و توسط اجرای یک کد پاورشل از راه دور انجام شده است.

مهاجمان سایبری تنها بخشی از فایل‌ها را رمزگذاری و همین فایل‌ها را در کمترین زمان تخریب کرده‌اند و برای جلوگیری از ایجاد اختلال در عملکرد خود سیستم‌عامل، بخشی از فایل‌ها و مسیرهای خاص در فرایند رمزگذاری درنظر نگرفته‌اند.

در این حمله باج افزاری، به دلایل مختلف همچون عدم جلوگیری از فرایند رمزگذاری، چند برنامه کاربردی حذف و یا غیرفعال و برای جلوگیری از بازگرداندن فایل‌های قربانی، Shadow-Copy و Restore-Point سامانه مربوط، پاک می‌شود. مهاجمین در پوشه‌هایی که فایل‌های آن رمزنگاری شده‌اند، فایلی را به نام Readme.READ ایجاد کردند که حاوی آدرس‌های ایمیل آنها است.

کارشناسان واحد امداد مرکز مدیریت راهبردی افتا، برای مقابله با این‌گونه باج افزارها توصیه می‌کنند حتماً کلاینت‌های کاری پس از اتمام ساعات کاری خاموش شوند و اتصال پاور آن‌ها قطع شود.

غیرفعال کردن اجرای کد از راه دور با ابزارهایی مانند Powershell/PsExec و همچنین سیگنال Wake-on-LAN ) WoL) در BIOS/UEFI از دیگر توصیه‌های امنیتی برای مقابله با این گونه باج افزارها عنوان شده است.

کارشناسان واحد امداد افتا همچنین از مسئولان و کارشناسان آی تی خواسته‌اند تا برای جلوگیری از ارسال فرمان WOL در شبکه، پورت‌های ۷ و ۹ UDP را ببندند.

برای جلوگیری از سوءاستفاده بدافزارها، مقاوم سازی و به روزرسانی سرویس‌های AD و DC توصیه می‌شود و باید برای شناسایی هر گونه ناهنجاری، بصورت دوره‌ای لاگ‌های ویندوز بررسی شوند.

مرکز مدیریت راهبردی افتای ریاست جمهوری، پشتیبان گیری منظم و انتقال فایل‌های پشتیبان را به خارج از شبکه، از دیگر راه‌های مقابله با هر نوع باج افزاری عنوان می‌کند و از همه مسئولان و کارشناسان آی تی زیرساخت‌های کشور خواسته است تا همه این توصیه‌ها را به دقت انجام دهند.

مشروح بررسی تحلیلی و فنی این باج افزار به همراه مستندات لازم، در سایت مرکز افتا منتشر شده است.

نظر خود را اضافه کنید.

ارسال نظر بدون عضویت در سایت

0
  • هیچ نظری یافت نشد

ورود به شهرسخت‌افزار

ثبت نام در شهر سخت افزار
ورود به شهر سخت افزار

ثبت نام در شهر سخت افزار

نام و نام خانوادگی(*)
لطفا نام خود را وارد کنید

ایمیل(*)
لطفا ایمیل خود را به درستی وارد کنید

رمز عبور(*)
لطفا رمز عبور خود را وارد کنید

شماره موبایل
Invalid Input

جزو کدام دسته از اشخاص هستید؟(*)

لطفا یکی از موارد را انتخاب کنید