مقالات

راهکارهای مقابله با حملات RaaS

جان دیماجیو، استراتژیست و مدیر ارشد امنیت در “Analyst1” است که در رابطه با گروه‌های ارایه دهنده باج‌افزار به صورت سرویس (RaaS[۱]) و چگونگی مقابله با آنها یک مصاحبه پادکستی با Help Net داشته است. در این مطلب از فراست، نگاهی خلاصه وار به این مصاحبه امنیتی خواهیم داشت.

 

امروز با جان در خصوص مخاطره سرویس­‌های باج‌افزاری و همچنین مهاجمانی که این سرویس‌ها را عرضه می‌کنند، صحبت می­‌کنیم. جان، امکانش هست کمی درباره این سرویس‌­ها صحبت کنی؟

جان: حتماً. سوال خیلی خوبی بود. یکی از بزرگترین مشکلاتی که امروزه سازمان‌ها با آن مواجه هستند، مخاطره حملات باج‌افزاری است. مهاجمان باج‌افزاری راهی برای نفوذ به یک محیط پیدا می‌کنند. ممکن است آنها چند روز تا چند هفته نیز در آن محیط باقی بمانند. مشاهده شده که فعالیت مهاجمان در این محیط‌ها از ۳ روز تا ۲ هفته متغیر بوده و برای حضور در این محیط‌ها از ابزارهای عادی و نرم افزارهایی با کاربردهای دوگانه استفاده کرده و در این مدت سعی می‌کنند سطح دسترسی خودشان را ارتقا دهند.

سپس از این دسترسی‌ها برای غیرفعال کردن سرویس‌های امنیتی استفاده می‌کنند. به این ترتیب می‌توانند پی‌لودهای باج‌افزار را که بیشترین میزان موفقیت در زمینه رمزنگاری داده‌ها و از بین بردن امکان دسترسی به داده‌ها را برای کاربران دارند، اجرا کنند. پدیده باج‌افزار به صورت سرویس، این عملیات را یک گام فراتر برده و مراحل انجام را پیشرفته‌تر کرده است.

در واقع کاری که این گروه‌ها انجام می‌دهند، فروش قابلیت دسترسی به ابزارهای خودشان است. بنابراین در بازارها و انجمن‌های دارک نت این محصولات را تبلیغ کرده و به این ترتیب سایرین می‌توانند این سرویس ها را خریداری کرده و وقتی حمله را با موفقیت اجرا کردند، مقداری از سود خودشان را با آنها سهیم شوند.

مهمترین تفاوت این رویکرد با آنچه قبلاً مشاهده شده بود، اجرای حملاتی بیشتر در بازه‌های زمانی کوتاه‌تر است. به این ترتیب سود مهاجمان بیشتر شده و این روش برای آنها بسیار پردرآمد و جذاب است.

این گروه‌ها چه تفاوتی با گروه‌های باج‌افزاری سنتی دارند؟

جان: تفاوت آنها در تاکتیک‌های مورد استفاده‌شان است. یکی از تاکتیک‌های متمایز آنها کپی کردن و سرقت داده‌های قربانی، پیش از اجرای باج‌افزار است که البته این گروه‌ها جزو اولین گروه‌هایی نبوده اند که این تاکتیک را در پیش گرفته اند.

مهاجمان می‌توانند از سود این کار برای رسیدن به درآمدهای بیشتر استفاده کنند. آنها قربانی را تهدید به افشای اطلاعات حساس یا انتشار داده‌های مشتریان کرده و از این روش برای افزایش درآمدشان و بالا بردن مبلغ باج استفاده می‌کنند. به این ترتیب، قربانیان نه تنها درباره از دست دادن امکان دسترسی به داده‌ها بلکه درباره انتشار اطلاعاتشان در اینترنت هم نگرانی پیدا می‌کنند.

این مسأله تبدیل به یک مشکل مهم شده اما چنین تاکتیک‌هایی به همراه استفاده از رسانه‌های اجتماعی برای تهدید قربانی و میزبانی زیرساخت‌های لازم برای ذخیره و ارسال داده‌ها همگی از جمله عناصری هستند که قبل از عرضه طرح‌های باج‌افزار به عنوان سرویس، در حملات باج‌افزاری سنتی خیلی پرکاربرد نبودند.

پس از دسترسی به داده‌ها چه کارهایی را با آنها انجام می‌دهند؟

جان: اولین کار آنها بررسی داده‌ها برای پیدا کردن عناصر حساس در آنها است؛ مثل مکاتبات ایمیلی مهم یا اطلاعات سری مربوط به محصولات شرکت مورد نظر یا اطلاعات حساس مربوط به مشتریان شرکت که هرگز نباید افشا شوند. معمولاً مهاجمان مقداری از این اطلاعات را برای قربانی ارسال می‌کنند تا قربانی را از جدی بودن قصد خودشان باخبر سازند.

آنها از توئیتر برای انتشار خبر دسترسی به داده‌های شرکت‌ها استفاده می‌کنند و این خبر را در وب سایت‌هایی مثل Pastebin منتشر کرده یا اسکرین شات ایمیل‌ها یا اسناد حساس را در وب سایت‌های میزبانی عکس مثل ۴Chan منتشر می‌کنند. در واقع آنها یک حمله تبلیغاتی اجرا کرده تا نشان دهند آماده انتشار این اطلاعات هستند و با انتشار این خبر سعی می‌کنند قربانی را تشویق به پرداخت باج کنند. به ویژه آنها سعی می‌کنند این خبر را به اطلاع مشتریان شرکت مورد نظر برسانند تا فشار را بر قربانی افزایش دهند.

بنابراین هدف گروه‌های ارایه دهنده باج‌افزار به عنوان سرویس، افزایش درآمدشان است و از روش‌های مختلفی برای انجام این طرح‌ها و سوءاستفاده از قربانیان استفاده می‌کنند که فراتر از فنون رمزنگاری مرسوم است.

آیا قربانی‌ها باید این مبلغ را پرداخت کنند؟ اگر این کار را انجام دهند، مهاجمان به کار خود پایان می دهند؟

جان: این هم پرسش خیلی خوبی است اما پاسخ به آن خیلی سخت است. نمی‌توان قضاوت کرد که قربانی باید چنین مبلغی را پرداخت کند یا خیر. ما همیشه به افراد توصیه می‌کنیم این کار را انجام ندهند. اگر هیچ فردی به مجرمان باج ندهد، آنها هم اجرای چنین حملاتی را متوقف می‌کنند. اجرای این حملات برای مجرمان زمان بر است و باید وقت زیادی را برای اجرای موفقیت آمیز حمله صرف کنند. بنابراین اگر با وجود این همه تلاش ها نتیجه‌ای نگیرند احتمالاً روش خودشان را تغییر خواهند داد.

نمی‌توانید مطمئن باشید که در صورت پرداخت باج به آنها خطر رفع می‌شود. وقتی این اتفاق برای سازمانی رخ دهد، در موقعیت بسیار سختی قرار می‌گیرد و باید تصمیم بگیرد که این مبلغ را پرداخت کند یا خیر. با این حال همیشه توصیه می‌شود که در مرحله اول، از بروز چنین مشکلاتی پیشگیری کنیم که مسلماً این توصیه برای سازمان‌هایی که با این مشکل روبرو شده‌اند، دیگر چاره ساز نیست. با این وجود باید توجه داشت که پرداخت باج به این معنا نیست که دوباره به اطلاعات خودتان دسترسی خواهید داشت یا اطلاعات شما هرگز در اینترنت منتشر نمی‌شود.

شرکت‌ها برای حفاظت از خودشان در برابر چنین حملاتی باید چه کارهایی انجام دهند؟

جان: بهترین زمان برای مقابله با حمله، قبل از اجرای پی‌لود باج‌افزار است. بنابراین در چند روز یا چند هفته‌ای که مهاجمان به شبکه نفوذ کرده و در حال انجام مقدمات کار هستند، فرصت شناسایی آنها وجود دارد. وقتی مهاجمان از ابزارهای مدیریتی عادی برای نفوذ به شبکه و در اختیار گرفتن کنترل سیستم‌ها استفاده می‌کنند، پس سیستم‌های دفاعی باید بتوانند آنها را شناسایی کنند.

از این رو می‌توانید با بررسی استفاده از ابزارهای مدیریتی، بررسی اینکه چه اشخاصی از این ابزارها استفاده می‌کنند، بررسی زمان‌های استفاده از این ابزارها و نیز بررسی کارهای انجام شده با این ابزارها از وقوع این اتفاق پیشگیری کرد. اگر مدافعان با دقت این موارد را زیر نظر داشته باشند می‌توانند وقوع حمله را تشخیص داده و مهاجمان را با موفقیت متوقف کنند.

با این حال باید توجه داشت که داشتن یک راهکار شکار تهدید فعال بسیار مهم است. در واقع شکار تهدید را می توان به عنوان یک فرایند فعال و تکراری در منابع IT از جمله شبکه‌ها، مجموعه داده‌ها، سرورها، برنامه‌ها و نقاط انتهایی انجام داد که توسط کارشناسان امنیتی ماهر انجام می‌شود تا هرگونه فعالیت مشکوک و غیرمعمول که احتمال می رود مخرب است و تا به حال شناسایی نشده است، کشف و مورد بازرسی قرار گیرد.

شکار تهدید مانند یک کاراگاه مشکوک می‌ماند که همه چیز و همه شخص را زیر نظر دارد تا بتواند جرایم پنهان را کشف کند. این رویکرد بسیار پیشگیرانه است و علاوه بر موارد مشکوک و بد، بر کارهای خوبی که سازمان انجام می‌دهد و همچنین استفاده از ابزارهای عادی و مجاز هم نظارت لازم را دارد.

 

[۱] Ransomware-as-a-Service

 

منبع: helpnetsecurity

نمایش بیشتر

نوشته های مشابه

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

یک × دو =

0
سبد خرید
  • هیچ محصولی در سبدخرید نیست.