راهکارهای مقابله با حملات RaaS
جان دیماجیو، استراتژیست و مدیر ارشد امنیت در “Analyst1” است که در رابطه با گروههای ارایه دهنده باجافزار به صورت سرویس (RaaS[1]) و چگونگی مقابله با آنها یک مصاحبه پادکستی با Help Net داشته است. در این مطلب از فراست، نگاهی خلاصه وار به این مصاحبه امنیتی خواهیم داشت.
امروز با جان در خصوص مخاطره سرویسهای باجافزاری و همچنین مهاجمانی که این سرویسها را عرضه میکنند، صحبت میکنیم. جان، امکانش هست کمی درباره این سرویسها صحبت کنی؟
جان: حتماً. سوال خیلی خوبی بود. یکی از بزرگترین مشکلاتی که امروزه سازمانها با آن مواجه هستند، مخاطره حملات باجافزاری است. مهاجمان باجافزاری راهی برای نفوذ به یک محیط پیدا میکنند. ممکن است آنها چند روز تا چند هفته نیز در آن محیط باقی بمانند. مشاهده شده که فعالیت مهاجمان در این محیطها از 3 روز تا 2 هفته متغیر بوده و برای حضور در این محیطها از ابزارهای عادی و نرم افزارهایی با کاربردهای دوگانه استفاده کرده و در این مدت سعی میکنند سطح دسترسی خودشان را ارتقا دهند.
سپس از این دسترسیها برای غیرفعال کردن سرویسهای امنیتی استفاده میکنند. به این ترتیب میتوانند پیلودهای باجافزار را که بیشترین میزان موفقیت در زمینه رمزنگاری دادهها و از بین بردن امکان دسترسی به دادهها را برای کاربران دارند، اجرا کنند. پدیده باجافزار به صورت سرویس، این عملیات را یک گام فراتر برده و مراحل انجام را پیشرفتهتر کرده است.
در واقع کاری که این گروهها انجام میدهند، فروش قابلیت دسترسی به ابزارهای خودشان است. بنابراین در بازارها و انجمنهای دارک نت این محصولات را تبلیغ کرده و به این ترتیب سایرین میتوانند این سرویس ها را خریداری کرده و وقتی حمله را با موفقیت اجرا کردند، مقداری از سود خودشان را با آنها سهیم شوند.
مهمترین تفاوت این رویکرد با آنچه قبلاً مشاهده شده بود، اجرای حملاتی بیشتر در بازههای زمانی کوتاهتر است. به این ترتیب سود مهاجمان بیشتر شده و این روش برای آنها بسیار پردرآمد و جذاب است.
گروههای RaaS چه تفاوتی با گروههای باجافزاری سنتی دارند؟
جان: تفاوت آنها در تاکتیکهای مورد استفادهشان است. یکی از تاکتیکهای متمایز آنها کپی کردن و سرقت دادههای قربانی، پیش از اجرای باجافزار است که البته این گروهها جزو اولین گروههایی نبوده اند که این تاکتیک را در پیش گرفته اند.
مهاجمان میتوانند از سود این کار برای رسیدن به درآمدهای بیشتر استفاده کنند. آنها قربانی را تهدید به افشای اطلاعات حساس یا انتشار دادههای مشتریان کرده و از این روش برای افزایش درآمدشان و بالا بردن مبلغ باج استفاده میکنند. به این ترتیب، قربانیان نه تنها درباره از دست دادن امکان دسترسی به دادهها بلکه درباره انتشار اطلاعاتشان در اینترنت هم نگرانی پیدا میکنند.
این مسأله تبدیل به یک مشکل مهم شده اما چنین تاکتیکهایی به همراه استفاده از رسانههای اجتماعی برای تهدید قربانی و میزبانی زیرساختهای لازم برای ذخیره و ارسال دادهها همگی از جمله عناصری هستند که قبل از عرضه طرحهای باجافزار به عنوان سرویس، در حملات باجافزاری سنتی خیلی پرکاربرد نبودند.
پس از دسترسی به دادهها چه کارهایی را با آنها انجام میدهند؟
جان: اولین کار آنها بررسی دادهها برای پیدا کردن عناصر حساس در آنها است؛ مثل مکاتبات ایمیلی مهم یا اطلاعات سری مربوط به محصولات شرکت مورد نظر یا اطلاعات حساس مربوط به مشتریان شرکت که هرگز نباید افشا شوند. معمولاً مهاجمان مقداری از این اطلاعات را برای قربانی ارسال میکنند تا قربانی را از جدی بودن قصد خودشان باخبر سازند.
آنها از توئیتر برای انتشار خبر دسترسی به دادههای شرکتها استفاده میکنند و این خبر را در وب سایتهایی مثل Pastebin منتشر کرده یا اسکرین شات ایمیلها یا اسناد حساس را در وب سایتهای میزبانی عکس مثل 4Chan منتشر میکنند. در واقع آنها یک حمله تبلیغاتی اجرا کرده تا نشان دهند آماده انتشار این اطلاعات هستند و با انتشار این خبر سعی میکنند قربانی را تشویق به پرداخت باج کنند. به ویژه آنها سعی میکنند این خبر را به اطلاع مشتریان شرکت مورد نظر برسانند تا فشار را بر قربانی افزایش دهند.
بنابراین هدف گروههای ارایه دهنده باجافزار به عنوان سرویس، افزایش درآمدشان است و از روشهای مختلفی برای انجام این طرحها و سوءاستفاده از قربانیان استفاده میکنند که فراتر از فنون رمزنگاری مرسوم است.
آیا قربانیها باید این مبلغ را پرداخت کنند؟ اگر این کار را انجام دهند، مهاجمان به کار خود پایان می دهند؟
جان: این هم پرسش خیلی خوبی است اما پاسخ به آن خیلی سخت است. نمیتوان قضاوت کرد که قربانی باید چنین مبلغی را پرداخت کند یا خیر. ما همیشه به افراد توصیه میکنیم این کار را انجام ندهند. اگر هیچ فردی به مجرمان باج ندهد، آنها هم اجرای چنین حملاتی را متوقف میکنند. اجرای این حملات برای مجرمان زمان بر است و باید وقت زیادی را برای اجرای موفقیت آمیز حمله صرف کنند. بنابراین اگر با وجود این همه تلاش ها نتیجهای نگیرند احتمالاً روش خودشان را تغییر خواهند داد.
نمیتوانید مطمئن باشید که در صورت پرداخت باج به آنها خطر رفع میشود. وقتی این اتفاق برای سازمانی رخ دهد، در موقعیت بسیار سختی قرار میگیرد و باید تصمیم بگیرد که این مبلغ را پرداخت کند یا خیر. با این حال همیشه توصیه میشود که در مرحله اول، از بروز چنین مشکلاتی پیشگیری کنیم که مسلماً این توصیه برای سازمانهایی که با این مشکل روبرو شدهاند، دیگر چاره ساز نیست. با این وجود باید توجه داشت که پرداخت باج به این معنا نیست که دوباره به اطلاعات خودتان دسترسی خواهید داشت یا اطلاعات شما هرگز در اینترنت منتشر نمیشود.
شرکتها برای حفاظت از خودشان در برابر چنین حملاتی باید چه کارهایی انجام دهند؟
جان: بهترین زمان برای مقابله با حمله RaaS، قبل از اجرای پیلود باجافزار است. بنابراین در چند روز یا چند هفتهای که مهاجمان به شبکه نفوذ کرده و در حال انجام مقدمات کار هستند، فرصت شناسایی آنها وجود دارد. وقتی مهاجمان از ابزارهای مدیریتی عادی برای نفوذ به شبکه و در اختیار گرفتن کنترل سیستمها استفاده میکنند، پس سیستمهای دفاعی باید بتوانند آنها را شناسایی کنند.
از این رو میتوانید با بررسی استفاده از ابزارهای مدیریتی، بررسی اینکه چه اشخاصی از این ابزارها استفاده میکنند، بررسی زمانهای استفاده از این ابزارها و نیز بررسی کارهای انجام شده با این ابزارها از وقوع این اتفاق پیشگیری کرد. اگر مدافعان با دقت این موارد را زیر نظر داشته باشند میتوانند وقوع حمله را تشخیص داده و مهاجمان را با موفقیت متوقف کنند.
با این حال باید توجه داشت که داشتن یک راهکار شکار تهدید فعال بسیار مهم است. در واقع شکار تهدید را می توان به عنوان یک فرایند فعال و تکراری در منابع IT از جمله شبکهها، مجموعه دادهها، سرورها، برنامهها و نقاط انتهایی انجام داد که توسط کارشناسان امنیتی ماهر انجام میشود تا هرگونه فعالیت مشکوک و غیرمعمول که احتمال می رود مخرب است و تا به حال شناسایی نشده است، کشف و مورد بازرسی قرار گیرد.
شکار تهدید مانند یک کاراگاه مشکوک میماند که همه چیز و همه شخص را زیر نظر دارد تا بتواند جرایم پنهان را کشف کند. این رویکرد بسیار پیشگیرانه است و علاوه بر موارد مشکوک و بد، بر کارهای خوبی که سازمان انجام میدهد و همچنین استفاده از ابزارهای عادی و مجاز هم نظارت لازم را دارد.
[1] Ransomware-as-a-Service
منبع: helpnetsecurity