حمله باج‌افزارها به سرورهای ویندوزی

به گزارش خبرگزاری ایمنا و به نقل از مرکز ماهر،  باج‌افزارها (Ransomware) گونه‌ای از بدافزارها هستند که دسترسی به سیستم را محدود کرده و ایجادکننده آن برای برداشتن محدودیت درخواست باج می‌کند. برخی از انواع آنها روی فایل‌های هارددیسک رمزگذاری انجام می‌دهند و برخی دیگر ممکن است به سادگی سیستم را قفل کنند و پیام‌هایی روی نمایشگر نشان دهند که از کاربر می‌خواهد مبالغی را واریز کنند.
باج‌افزارها نخست در روسیه مشاهده شدند اما در ماه های اخیر تعداد حمله های باج‌افزارها به کشورهای دیگر از جمله استرالیا، آلمان و ایالات متحده آمریکا افزایش یافته است.
مرکز ماهر اعلام کرد: بررسی‌های فنی نشان داده که در بسیاری از این حمله ها مهاجمان با سوء استفاده از دسترسی‌ به سرویس دسترسی از راه دور که در سیستم‌ عامل ویندوز مبتنی بر پروتکل آر.دی.پی( RDP)است وارد شده، آنتی ویروس نصب شده را غیرفعال می ‌کنند و با انتقال فایل باج افزار، اقدام به رمزگزاری فایل‌های سرور می‌ کنند و حتی در مواردی، مشاهده شده است که مهاجمان، با صرف زمان کافی و پس از کسب شناخت و انجام انواع دیگری از سوء استفاده‌های ممکن، زمان و الگوی انجام پشتیبان‌گیری از اطلاعات را نیز شناسایی کرده و موفق به انجام حمله های باج‌افزاری بی‌نقص شده‌اند.
مهاجم در این حمله ها، با سوء استفاده از نسخه‌های آسیب‌پذیر سرویس( Remote Desktop‌) رمز عبور ضعیف، تنظیم های ناقص یا بی‌احتیاطی در حفاظت از رمز عبور، وارد سرورها می‌شوند.
مرکز ماهر اعلام کرد: برای جلوگیری از وقوع این حمله ها لازم است که تا حد امکان، نسبت به مسدود کردن سرویس ‌های غیر ضروری Remote Desktop روی سرورهای در دسترس از طریق شبکه اینترنت اقدام کرد و در صورت ضرورت و غیرقابل اجتناب بودن ارایه این امکان در بستر اینترنت، به دقت موارد زیر را رعایت کرد.
فعال بودن دسترسی Remote Desktop ‌به صورت حفاظت نشده در سطح اینترنت، سرور و داده‌های شما را به جددر معرض خطر قرار خواهد داد.
اقدام های پیشگیرانه
سیستم‌عامل مداوم به روز رسانی شده و هوشیاری در خصوص احتمال رخ دادن حمله های جدید و شناسایی آسیب‌پذیری‌های جدید افزایش یابد.
انجام منظم و سخت‌گیرانه پشتیبان‌گیری از اطلاعات روی تعداد کافی از رسانه‌های ذخیره‌سازی اطلاعات و آزمایش نسخ پشتیبان پس از هر مرتبه پشتیبان‌گیری ضروری است.
استفاده نکردن از کاربر Administratorبرای دسترسی از راه‌دور و تعریف یک کاربر جدید با دسترسی محدود شده برای این منظورضروری است.
تنظیم کردن سرورها به شکلی که برای ورود موفق، سقف مشخص و محدودی از تلاش‌های ناموفق تعیین شود، سطح قابل قبولی از پیچیدگی برای رمز عبور را الزام کرده و تغییر رمز عبور در بازه زمانی معقولی را اجبار کنید.
انجام این فرآیند در سیستم‌عامل‌های مختلف متفاوت بوده و بسیار ساده اما تاثیر گذار است و سبب پیشگیری از موفقیت بسیاری از حمله ها بر پایه دیکشنری یا دزدیدن رمز عبور می‌شود.
محدود کردن اجازه استفاده از خدمات دسترسی از راه‌دور در فایروال به آدرس آی‌پی‌های مشخص در صورت امکان ضروری است همچنین، ایجاد لایه‌های دفاعی بیشتر با تکیه بر خدماتی چون VPN نیز توصیه می شود.
محدود کردن زمان و ساعت استفاده از خدمات دسترسی از راه‌دور با استفاده از Group Policy Managerویندوز (محدود کردن دسترسی به ساعت های اداری) یا حتی فعال کردن دسترسی از راه دور فقط در زمان نیاز و غیر فعال نمودن آن پس از رفع نیاز ضرورت دارد.
بررسی مداوم و روزانه گزارش‌های امنیتی (به خصوص گزارش مربوط به Log-inدر Event-viewerویندوز)، گزارش آنتی ویروس و فایروال، جهت آگاه شدن از مواردی همچون زمان ورود هر کاربر و توجه و واکنش متناسب به موارد غیر متعارف همچون ورود در روزهای یا ساعت‌های تعطیل و تلاش‌های ناموفق بدافزارها برای دسترسی و آلوده سازی.
دقت مضاعف در زمان استفاده از نام کاربری و گذرواژه برای دسترسی از راه دور، به خصوص در زمانی که برای اتصال از رایانه دیگران استفاده می‌شود. انواع Key logger از تروجان‌ها می‌توانند با دزدیدن مخفی اطلاعات تایپ شده، دسترسی مهاجمان به سرورها را ممکن کنند، این نوع از حملات به این دلیل که در ناآگاهی کاربر یا مدیر، تمام فرآیند ورود را می‌بینند، بسیار خطرناک بوده و منشاء اغلب حمله ها با میزان خسارت درشت در ماه‌های اخیر هستند.
 درماه های گذشته حمله های سایبری بی سابقه ای در کل جهان با سوءاستفاده از نشت اطلاعات از آژانس امنیت ملی آمریکا آغاز شده است.
بنا بر اعلام بیزینس اینسایدر، ماجرا از آنجا آغاز شد که چند ماه قبل یک گروه هکری روش های مورد استفاده آژانس امنیت ملی آمریکا برای نفوذ به رایانه ها و سرقت اطلاعات از آنها را افشا کردند.
برای آگاهی از آخرین اخبار اقتصادی ایران و جهان با کانال اقتصادی ایرنا در تلگرام همراه شوید: