مروری بر سیر تاریخی بدافزار پیشرفته Emotet؛ از ظهور تا پاکسازی

در دنیای مجازی و فضای آنلاین شاهد افزایش ظهور انواع بدافزارها بر ضد کاربران اینترنتی، دستگاه‌های دیجیتالی و سیستم‌های هوشمند از جمله رایانه‌ها، تبلت‌ها و گوشی‌های تلفن همراه هوشمند هستیم. ویروس‌ها، کرم‌های رایانه‌ای، تروجان‌ها و سایر بدافزارها، باج‌افزارها و جاسوس‌افزارها نمونه‌هایی از طیف گسترده برنامه های مخرب هستند که در شکل های گوناگون مانند کد، فایل‌، محتوای فعال و غیره وارد سیستم‌های رایانه‌ای شده و بر عملکرد آنها تأثیرات منفی می‌گذارند.

یکی از انواع بدافزارها که سابقه به نسبت طولانی داشته و هدف آن تنها سرقت اطلاعات مالی کاربران است، بدافزار “Emotet” می‌باشد. در این مطلب از فراست نگاهی به این بدافزار، نحوه عملکرد و همچنین چگونگی مقابله با آن خواهیم داشت.

Emotet چیست؟

Emotet یک تروجان بانکی چندوجهی است که معمولاً از طریق [1]Malspamها (هرزنامه‌های بدافزاری[2]) منتشر می‌شود. پیام‌های هرزنامه‌ای که به این روش انتشار می‌یابند به منظور جذب و فریب کاربران، با بهره گیری از ترفندهای مختلف مهندسی اجتماعی و سوءاستفاده از نام برندهای مشهور و معتبری همچون پی‌پال یا DHL در قالب ایمیل های ارسالی به افراد مورد استفاده قرار می‌گیرند. اسکریپت‌های مخرب، لینک‌های فیشینگ و فایل‌های مجهز به ماکرو از جمله روش‌هایی هستند که توسط Emotet برای ایجاد آلودگی در سیستم کاربران و سرقت اطلاعات مالی آنها استفاده می شوند.

این بدافزار، قابلیت گریز از فناوری‌های تشخیص معمولی مبتنی بر امضا را دارد. نسخه ساده Emotet اولین‌بار توسط گروه هکری Mealybug که فعالیت خود را از سال 2014 میلادی آغاز کرده مورد استفاده قرار گرفت. این گروه با راه‌اندازی یک بات‌نت متشکل از رایانه‌های آلوده به Emotet و مشتمل بر سه کلاستر سرور به نام‌های Epoch 1، Epoch 2 و Epoch 3 شروع به انجام فعالیت های خرابکارانه و فروش دسترسی به این بات‌نت به سایر مهاجمان سایبری نمود. سپس به تدریج این عملیات مجرمانه تبدیل به روشی موسوم به ارایه باج‌افزار به عنوان سرویس (RaaS[3]) شد که از طریق اجاره این زیرساخت مخرب اقدام به درآمدزدایی برای مالکان خود می‌کرد. آنها بعدها این مدل را به عوامل باج‌افزارهای مختلف مانند گروه مشهور Ryuk فروختند.

بر اساس یک هشدار امنیتی منتشر شده در جولای 2018 میلادی توسط وزارت امنیت میهن آمریکا (DHS) از Emotet به عنوان مخرب‌ترین و پرهزینه‌ترین بدافزار تأثیرگزار بر دولت‌های ایالتی، فدرال و محلی آمریکا نام برده شده که بیش از یک میلیون دلار خسارت وارد کرده است. این بدافزار با قابلیت کرم مانند خود می تواند به سرعت آلودگی را در سطح شبکه منتشر نموده و مقابله با آن نیز کار چندان آسانی نیست.

 

نحوه فعالیت این بدافزار چگونه است؟

Emotet ابتدا در سال 2014 میلادی توسط یک تحلیل‌گر تهدیدات سایبری به نام “Joie Salvio” شناسایی شد. ایمیل‌های آلوده به این بدافزار معمولاً به صورت جزئیات انتقال یا وجه بانکی صورت‌حساب تحویل کالا شبیه‌سازی شده و کاربران را به کلیک بر روی لینک‌های مختلف تشویق می‌کنند. این بدافزار در آغاز فعالیت خود عموماً مشتریان بانک‌های کوچک در آلمان و اتریش را مورد هدف قرار می‌داد.

پس از ورود Emotet به شبکه قربانیان، سایر اجزای آن دانلود و در سیستم قربانی بارگذاری می‌شوند. در بین اجزای بدافزار، یک فایل پیکربندی حاوی اطلاعاتی درباره قربانیان و همچنین فایلی با پسوند [4].dll وجود دارد که به تمام فرایندهای سیستمی تزریق می‌شود. علاوه بر اینها فایل دیگری نیز وجود دارد که کل ترافیک خروجی شبکه قربانی را ثبت و تفسیر می‌کند. از این عملیات در دنیای امنیت سایبری به «عملیات حمله پویش شبکه[5]» یاد می شود. متأسفانه حتی اگر از ارتباط امن HTTPS استفاده کنید باز هم امکان وقوع چنین رویدادی وجود دارد.

فایل .dll پس از تزریق به مرورگر، ورودی‌های کاربر را با پیکربندی خود مقایسه نموده و در صورت یافتن یک گزینه منطبق، اقدام به ثبت و جمع آوری داده‌های وی می‌کند. مواردی که توسط Emotet دانلود می‌شوند در تعدادی رکورد رمزنگاری شده از رجیستری که کاربران معمولی به ندرت آنها را بررسی می‌کنند، مورد استفاده قرار می‌گیرند. بنابراین امکان مخفی‌سازی فعالیت‌های مخرب و پیشگیری از تشخیص بدافزار توسط آنتی‌ویروس‌هایی که بر اساس فایل کار می‌کنند، به وجود می‌آید.

اگرچه ویژگی برجسته این بدافزار، قابلیت کرم مانند آن است ولی Emotet با گذشت زمان تکامل زیادی یافته و مجهز به توانایی‌های بیشتر از جمله قابلیت تطبیق و عدم امکان شناسایی راحت خود شده است. این بدافزار برای تداوم حضور پیوسته خود از روش‌های گوناگونی مانند شروع خودکار سرویس‌ها و تغییر در کلیدهای رجیستری بهره برده و از فایل‌های DLL پیمانه‌ای نیز برای رشد، تکامل و به‌روزرسانی مداوم قابلیت‌های خود استفاده می‌کند. علاوه بر این Emotet توانایی تشخیص ماشین مجازی را داشته و در صورت اجرا در یک محیط مجازی، علائم دروغینی از خود نشان می دهد.

Emotet چگونه منتشر می‌شود؟

بدافزار Emotet به کمک ماژول خاصی که مسئول انتشار آن در شبکه است و از چند پیمانه پخش کننده بدافزار تشکیل شده منتشر می‌شود. هشدارهایی که در خصوص این بدافزار و توسط مرکز تحلیل و اشتراک‌گذاری اطلاعات ایالتی آمریکا[6] و مرکز ملی یکپارچه‌سازی امنیت سایبری و ارتباطات[7] ارایه شده اند، شامل موارد زیر هستند:

 

تاریخچه مختصری از بدافزار Emotet

Emotet یکی از بدافزارهای مشهور دهه اخیر است که تاریخچه جالبی دارد. در ادامه مطلب، مراحل تغییر و تحول این بدافزار را در سال‌های مختلف بررسی کرده ایم. مطالعه این بخش به شما کمک می‌کند تا اولاً با روش‌هایی که توسط Mealybug و سایر گروه‌های هکری مورد استفاده قرار می‌گیرند آشنا شده و همچنین از سازمان و کسب و کارتان در برابر این حملات به خوبی محافظت کنید.

2014

در ژوئن سال 2014 میلادی اولین تحلیل مستند از بدافزار Emotet به همراه یک بررسی اجمالی از نحوه عملکرد آن توسط Joie Salvio منتشر شد. پس از مدت کوتاهی از انتشار نسخه اولیه این بدافزار، نسخه دوم آن نیز ارایه شد. در آن زمان مجرمان سایبری قربانیان‌شان را از بین مشتریان بانک‌های آلمان و اتریش انتخاب نموده و در حملات خود از یک سیستم انتقال خودکار (ATS[9]) که امکان انتقال سریع وجه از حساب قربانیان‌شان را داشت، استفاده می کردند. آنها تمام تلاش خود را برای جلوگیری از شناسایی توسط قربانیان و تیم‌های امنیتی به کار می‌بردند. با این حال فعالیت نسخه دوم Emotet در دهم دسامبر 2014 متوقف و آخرین فرمان سرورهای این بدافزار در این تاریخ ثبت شد.

2015

عوامل بدافزار Emotet پس از تعطیلات سال نو و در ژانویه سال 2015 با نسخه سوم آن بازگشتند. اگرچه نسخه جدید تفاوت چندانی با نسخه‌های پیشین نداشت ولی مجهز به قابلیت‌های کلیدی همچون کلید عمومی [10]RSA جدید و پاکسازی جزئی اسکریپت [11]ATS بود که مانع از شناسایی آن توسط کارشناسان و متخصصان امنیتی می‌شد. این گروه هکری پس از مدتی در حملات‌شان تنوع ایجاد نموده و علاوه بر قربانیان آلمانی و اتریشی، مشتریان بانک‌های سوئیسی را نیز هدف حملات خود قرار دادند. در همین سال، بدافزار Emotet به یک تهدید پیمانه‌ای تبدیل شد و حملات محروم سازی از سرویس توزیع شده (DDoS[12]) و سرقت اطلاعات ورود به ایمیل هم به مجموعه فعالیت‌های طراحان آن افزوده شد.

2016

هر چند مستندات مرتبط با فعالیت‌های Emotet در سال 2016 تقریباً محدود است ولی تحلیل‌گران امنیتی توانستند ثابت کنند که توسعه دهندگان این تروجان آن را به گونه‌ای پیکربندی کرده اند تا به صورت یک بارگذار[13] (یا لودر) عمل کند. همچنین در این سال کارشناسان امنیتی متوجه انتخاب دوباره قربانیان این بدافزار از بین مشتریان بانک‌های آلمانی و اتریشی شده و به این نتیجه رسیدند که این گروه همچنان در حال ادامه رویکرد خود مبنی بر هدف‌گیری قربانیان کوچک است.

2017

گروه هکری Mealybug در سال 2017 میلادی از رویکرد ارایه بدافزار به عنوان سرویس (RaaS) استفاده نمود و تروجان بانکی IcedID را از طریق زیرساخت خود منتشر کرد. در همان سال، این گروه هکری تروجان Trickbot و باج‌افزار UmberCrypt را هم توزیع نمود. در سال 2017 هکرها با استفاده از بدافزار Emotet حوزه فعالیت‌شان را به کشورهای دیگری مثل چین، کانادا، انگلیس و مکزیک توسعه داده و این تغییر مسیر از سمت گروهی که قبلاً متمرکز بر کشورهایی بود که به زبان آلمانی صحبت می‌کردند، قابل توجه است. ممکن است گسترش استفاده از خدمات RaaS تروجان Emotet در همان بازه زمانی، یکی از دلایل انجام چنین تغییری باشد.

2018

در سال 2018 میلادی Emotet با حمله به شهر آلن‌تاون آمریکا اولین اقدام مجرمانه‌اش را در حمله به این کشور آغاز کرد. مهاجمان همچنین در این سال، همکاری خود با TrickBot[14] را تقویت کردند. در همان زمان بات‌نت بدافزار TrickBot شروع به انتشار یک خانواده از تروجان‌های بانکی با توانایی های مشابه یک کرم شبکه‌ای به نام “Qakbot” نمود.

2019

در سال 2019 رویدادهای مهمی از جمله حملات بزرگ بر ضد یکسری از نهادهای آلمانی و همچنین شهر فرانکفورت اتفاق افتاد. این حملات بخشی از یک حمله وسیع‌تر بودند که قربانیانی را در کشورهای آلمان، لهستان، انگلیس و ایتالیا مورد هدف قرار دادند. این عملیات با دقت بالایی طراحی و اجرا شد و توانست سازمان‌ها و مؤسسات بسیار زیادی را با موفقیت مورد هدف قرار دهد. مهاجمان در این حملات با ارسال ایمیل‌هایی با مضمون «صورت‌حساب عقب افتاده» و «توصیه‌های حواله پرداخت» کارمندان را تشویق به باز نمودن فایل‌های آلوده مایکروسافت ورد می‌کردند. قربانیان با باز کردن این فایل‌ها ماکروی مخربی را بر روی سیستم خود فعال می‌کردند. این ماکرو، Emotet را از وب‌سایت‌های وردپرس آلوده دانلود و آن را در شبکه هدف توزیع می‌کرد. از این رو سال 2019 نقش بسیار پررنگی در تاریخچه بدافزار Emotet داشته و رویدادهای بسیار مهمی در این سال رخ داده است.

2020

Emotet در فوریه 2020 میلادی غیرفعال شد ولی فعالیت خود را مجدداً در ماه جولای همان سال دوباره از سر گرفت. بر اساس آمار و نتایج تحقیقات صورت گرفته، این بدافزار از ماه جولای به بعد حدود 250 هزار پیام فیشنگ را ارسال کرده است. اقدامات جدید این بدافزار شامل ارسال هرزنامه‌های بدافزاری به زبان انگلیسی به سازمان‌های مستقر در آمریکا و انگلیس بود. پس از این حملات فعالیت Emotet کم‌رنگ شده ولی در چهارده اکتبر همان سال مجدداً فعالیت خود را آغاز کرد. در این زمان شیوع بیماری کرونا نیز فرصت‌های جدید و وسوسه انگیزی را برای مهاجمانی که از این بدافزار استفاده می‌کردند به وجود آورد. Emotet همچنین یک الگوی کاملاً جدید برای طراحی فایل‌ها داشت که در قالب فایل به‌روزرسانی ویندوز طراحی شده و کاربران را ملزم به نصب نسخه جدید از مایکروسافت ورد می‌کرد. چنانچه قربانیان از این دستور پیروی می‌کردند، سیستم آنها آلوده می‌شد.

2021

در بیست و هفتم ژانویه 2021 میلادی زیرساخت بات‌نت Emotet از کار افتاد و به این ترتیب اختلالاتی در توزیع این بدافزار ایجاد شد. این موفقیت در اثر یک عملیات هماهنگ شده با مدیریت یوروپل و یوروجاست به دست آمد. نهادهای مجری قانون در اروپا از جمله آلمان، اوکراین، فرانسه، لیتوانی، هلند و انگلیس با مقامات آمریکایی همکاری کرده تا بتوانند کنترل سرورهای این گروه را در اختیار بگیرند. در همان زمان مجریان قانون پس از در اختیار گرفتن کنترل سرور Emotet توانستند کل بات‌نت آن را از کار بیاندازند.

بنا به گفته کارشناسان امنیتی: «زیرساخت مورد استفاده Emotet شامل صدها سرور مستقر در سطح جهان بود که هر کدام از این سرورها مجهز به قابلیت‌های مختلفی مانند آلوده نمودن رایانه‌های قربانی، مدیریت رایانه‌های آلوده و خدمت به سایر گروه‌های مجرمانه بودند و همواره سعی می‌کردند در برابر تلاش مجریان قانون برای شناسایی و از بین بردن آنها مقاوم باشند. با این حال، نهادهای قانونی سیستم های آلوده قربانیانی را که به سمت این زیرساخت هدایت می‌شدند تحت کنترل گرفته تا بتوانند در فعالیت‌ها و عملیات مجرمان سایبری اختلال ایجاد کنند. سرانجام بات‌نت Emotet در تاریخ 25 آوریل 2021 میلادی از روی تمام دستگاه‌هایی که آلوده به آن بودند، پاک و به فعالیتش خاتمه داده شد. این اقدام نتیجه تلاش‌ها و عملیات گسترده‌ای بود که توسط پلیس فدرال آلمان از ماه ژانویه آغاز شده بود.

آلودگی‌های مهم ایجاد شده توسط بدافزار Emotet

در دهه اخیر، Emotet چندین نهاد مهم از جمله دولت‌های محلی، نهادهای دولتی، سازمان‌های خصوصی و مؤسسات آموزشی را مورد هدف حملات خود قرار داده است. در حملاتی که توسط این بدافزار بر ضد مؤسسات آلمانی صورت گرفته الگوی خاصی در آنها مشاهده می‌شود. در ادامه یک مرور کلی بر آلودگی‌های مهمی که توسط این بدافزار ایجاد شده اند، خواهیم داشت.

1. آلن‌تاون، پنسیلوانیا (فوریه 2018)

در فوریه سال 2018 میلادی شهر نسبتاً بزرگ آلن‌تاون در ایالت پنسیلوانیای آمریکا قربانی حمله تروجان Emotet شد. بنا به گفته شهردار این شهر: «این ویروس، رایانه‌های دولتی را آلوده نموده و با سرعت بسیار زیادی تکثیر می شود. Emotet تمام اعتبارنامه‌های دیجیتالی قابل دسترس مثل نام کاربری و کلمه عبور کارمندان را جمع‌آوری کرده است». بر اساس گفته های مدیر ارتباطات آلن‌تاون: «مدیران محلی این شهر برای مقابله با آسیب ناشی از این بدافزار، 185 هزار دلار به شرکت مایکروسافت پرداخت کرده است. شهردار هم اعلام کرده که حدود 800 الی 900 هزار دلار برای مقابله با این حمله هزینه شده است».

2. Heise Online (می 2019)

سال 2019 برای شرکت آلمانی Heise Online شروع چندان خوبی نداشت و با خبرهای بسیار بدی آغاز شد. بر اساس اطلاعیه ای که در وب‌سایت این شرکت منتشر شد یک حمله سایبری در نیمه اول ماه می 2019 بر ضد آن با موفقیت اجرا شد. در این حمله، ایمیلی برای یکی از کارمندان این شرکت آلمانی ارسال شد و در آن از کارمند مربوطه درخواست شده بود اطلاعات موجود در فایل پیوست را بررسی کند. بلافاصله پس از اینکه کارمند مذکور فایل پیوست را باز می‌کند یک پیام خطای جعلی به او نمایش داده شده و از وی درخواست می‌شود مجوز دسترسی برای ویرایش فایل را بدهد. کارمند با انجام این کار، مجوز اجرای حمله توسط مهاجمان را صادر می کند! اگرچه به نظر می‌رسد این آلودگی در همان ابتدا توسط آنتی‌ویروس رایانه قربانی پاکسازی شده ولی انتشار آن به سیستم‌های شرکت Online Heise ادامه داشته است. بر اساس هشدارهایی که توسط فایروال شبکه این شرکت ایجاد و به نمایش گذاشته شده است، سیستم‌های خارجی منتسب به بدافزار Emotet از طریق پورت TCP 449 به شبکه شرکت Heise Online متصل شده‌اند.

3. دادگاه Kammergericht در برلین (سپتامبر 2019)

عالی‌ترین دادگاه ایالتی در شهر ملبورن، Kammergericht Berlin (به اختصار KG) است که به پرونده‌های کیفری و مدنی رسیدگی می‌کند. در اواخر سپتامبر سال 2019 کارشناسان مرکز خدمات فناوری اطلاعات هشدار دادند که شبکه این دادگاه به ویروس آلوده شده است. چند روز پس از اعلام این هشدار، وزارت امور داخلی سنا به این مسئله رسیدگی نموده و هشدارهایی را هم در این زمینه صادر کرد ولی اقدام جدی در رابطه با این ویروس صورت نگرفت. مدت کوتاهی بعد، ارتباط شبکه رایانه‌ای این دادگاه بزرگ (که متشکل از 550 سیستم رایانه‌ای بود) با سیستم‌های دولتی قطع شد. به این ترتیب Emotet فرصت کافی در اختیار داشت تا آلودگی را گسترش داده و به اهداف خود برسد. این حمله نشان داد که مهاجمان از قربانی کردن هیچ شخص و سازمانی واهمه ندارند.

4. دانشگاه هومبولت برلین (اکتبر 2019)

در اواخر ماه اکتبر سال 2019 میلادی تعدادی ایمیل فیشینگ به دانشگاه هومبولت مستقر در برلین ارسال شد. بر اساس اطلاعیه خبری منتشر شده توسط این دانشگاه، از اوایل نوامبر حدود 43 هزار حساب کاربری مورد نفوذ قرار گرفتند اما از چهاردهم نوامبر به بعد آلودگی جدیدی ثبت نشد. بر اساس گزارش‌های منتشر شده، آسیب جدی به شبکه‌های مرکزی و سرویس‌های این دانشگاه بر اثر این حمله وارد نشد. دانشگاه هومبولت اعلام کرد که بلافاصله پس از اولین حادثه، راهکارهای سریعی برای مقابله با حمله اجرا شده اند. در نهایت نیز اتصال رایانه‌های آلوده به بدافزار از شبکه قطع و به طور کامل پیکربندی مجدد شدند. این حمله در همان ابتدای کار با عکس العمل به موقع کارشناسان امنیتی دانشگاه متوقف شد. دانشگاه‌های یوستوس لیبیگ گیسن (مستقر شمال فرانکفورت) و کاتولیک در فرایبورگ نیز همان سال مورد هدف حمله Emotet قرار گرفتند.

5. فرانکفورت، آلمان (دسامبر 2019)

حمله به شهر فرانکفورت آلمان که یکی از بزرگترین قطب‌های اقتصادی کشور آلمان و کل جهان محسوب می شود از جمله حملات مهم Emotet است. کل شبکه فناوری اطلاعات این شهر در اثر این حمله از کار افتاد و سازمان‌های عمومی و خصوصی متحمل ضررهای مالی بسیار زیادی شدند. بنا به دستور دفتر فدرال امنیت اطلاعات آلمان تمام سیستم‌ها برای مقابله با این حمله از کار افتادند. این تصمیم اگرچه خسارت‌های زیادی را وارد کرد اما تنها راهکار ممکن برای مقابله با ادامه چنین آلودگی وسیعی بود. در دسامبر 2019 نیز شهر هامبورگ آلمان مورد هدف باج‌افزار Emotet قرار گرفت. برای مقابله با این حمله تمام رایانه‌ها و سرورها از کار افتاده و در اواخر ماه دسامبر فعالیت خود را مجدداً آغاز کردند.

چگونه از سازمان‌تان در برابر Emotet حفاظت کنید؟

ممکن است تصور کنید در سال‌های اخیر هیچ‌گونه تغییر و تحولی در این بدافزار ایجاد نشده ولی خوب است بدانید که Emotet از سال 2014 میلادی به بعد با استفاده از فایل‌های DLL رویکردها و فنون حمله‌اش را به صورت مستمر ارتقا داده و بیش از 5 سال توانسته است در برابر تلاش مدافعان سایبری برای از کار انداختن آن مقاومت کند. توصیه مهم کارشناسان امنیتی این است که به هیچ وجه حملات بدافزاری را نادیده نگیرید.

بعضی از پیامدهای نامطلوب آلودگی به این بدافزار شامل موارد زیر هستند:

در ادامه، نکات مهمی را بررسی می‌کنیم که به مدیران سازمان‌ها و تیم‌های امنیتی کمک می‌کنند از سازمان‌شان در برابر بدافزار Emotet به نحو اثربخشی محافظت کنند.

1. از یک آنتی‌ویروس نسل جدید استفاده کنید.

طراحی خاص Emotet باعث شده که امکان شناسایی آن به راحتی توسط نرم افزارهای آنتی‌ویروس سنتی مبتنی بر فایل وجود نداشته باشد. بنابراین توصیه می‌شود یک نرم‌افزار قوی‌تر که قدرت مقابله با تهدیدات جدید و پیشرفته را دارد بر روی سیستم های کاربران نصب کنید. بهترین روش برای مقابله با حملات بدافزاری استفاده از یک نرم افزار آنتی‌ویروس نسل جدید است که قابلیت نظارت زنده بر روی تمامی پردازش‌های سیستم را دارد. این نرم افزارها در پس‌زمینه سیستم و بدون ایجاد هیچ‌گونه تأثیری بر روی سرعت رایانه‌ها فعالیت می‌کنند.

2. به محض انتشار وصله‌های امنیتی و به‌روزرسانی‌های نرم‌افزاری آنها را نصب کنید.

هنگامی که نرم‌افزارهای مهم و حیاتی قدیمی شوند یا به وصله های امنیتی نرم افزارهای نصب شده بر روی سیستم ها توجهی نشود، آسیب‌پذیری‌های جدید می توانند سیستم کاربران را در معرض مخاطرات جدی قرار دهند. این آسیب‌پذیری‌ها حفره‌هایی را در سیستم ایجاد می‌کنند که مهاجمان از طریق آنها می‌توانند به سیستم ها یا شبکه سازمانی نفوذ کنند. بنابراین جهت حفظ بهداشت سایبری شبکه‌های سازمانی‌تان باید به‌روزرسانی‌ها و وصله‌های امنیتی را به محض اینکه منتشر می‌شوند، نصب کنید.

3. آموزش‌های لازم درباره مهندسی اجتماعی و فیشینگ را به کارمندان‌تان بدهید.

شما به عنوان مالک یک کسب و کار مسئول هستید که آموزش‌های لازم را در خصوص حملات مهندسی اجتماعی و فیشینگ (که نقش مهمی در موفقیت چشم‌گیر Emotet داشته‌اند) به کارمندان‌تان بدهید. یکسری از رفتارها و اقدامات خاصی که باید در فرهنگ رفتاری سازمان‌ها نهادینه شود، شامل موارد زیر هستند:

اگرچه موارد بالا جزو اصول اولیه امنیت سایبری هستند ولی توجه به همین نکات ساده می‌تواند از اطلاعات شما در مقابل بدافزارها محافظت کند.

4. یک سیاست ویژه در زمینه برخورد با ایمیل‌های مشکوک در سطح سازمان تدوین کنید.

فرض کنید به کارمندان‌ سازمان آموزش‌های لازم درباره نحوه تشخیص فعالیت‌های مشکوک داده می شود ولی آیا سازمان یک سیاست شفاف و از پیش تعیین شده در رابطه با نحوه برخورد کارمندان با پیام‌های مشکوک دارد؟ اگر پاسخ این سؤال «منفی» است پس بهتر است مدیر و تیم‌ امنیتی سازمان هر چه زودتر برای تدوین چنین سیاستی دست به کار شوند. ابتدا همه ایمیل‌های مشکوک باید به بخش امنیت یا فناوری اطلاعات سازمان گزارش داده شده و بخش مسئول هم باید اقدامات لازم را برای مقابله با تهدید و پیشگیری از آلودگی شبکه انجام دهد.

5. پیوست‌های آلوده را مسدود کنید.

مسدود کردن ایمیل‌های حاوی فایل‌هایی با پسوندهای dll و exe که توسط بدافزارها مورد استفاده قرار می‌گیرند یکی از اصول مهم امنیت سایبری است. توصیه می‌شود پیوست‌هایی مثل فایل‌های zip که امکان پویش آنها توسط نرم افزارهای آنتی‌ویروس وجود ندارد را مسدود کنید. Emotet نیز در حملات خود از فایل‌های dll استفاده می کرد و به همین خاطر انجام چنین اقدامی مانع از پیش‎‌روی سایر بدافزارهای مشابه در شبکه سازمانی شما خواهد شد.

6. از یک سیستم فیلترینگ ایمیل برای جلوگیری از انتشار بدافزارهای ایمیلی استفاده کنید.

با توجه به گسترش روزافزون حملات بدافزاری از طریق هرزنامه‌ها کسب و کار شما نیاز به یک راهکار پیشرفته برای حفاظت در برابر تهدیدات ایمیلی دارد. یک سیستم فیلترینگ خوب ایمیل ها می‌تواند به شما برای دستیابی به این هدف کمک کند. این ابزارها علاوه بر شناسایی هرزنامه‌ها پیام‌های حاوی دامنه‌ها، نشانی‌های وب و آدرس آی‌پی‌های مخرب را هم شناسایی و پیوست‌های آلوده به بدافزار را پاک می‌کنند. آنها همچنین می‌توانند مکملی برای سایر راهکارهای امنیت ایمیل مورد استفاده شما و همچنین مایکروسافت 365 باشند. با توجه به اینکه Emotet از یک قابلیت خاص برای توزیع از طریق اوت لوک[15] بهره می برد بنابراین استفاده از یک لایه حفاظتی اضافی می‌تواند برای مقابله با بدافزارهای مشابه مفید باشد.

7. سطوح دسترسی را مدیریت کنید.

یکی از روش‌های امن برای جلوگیری از حملات مشابه Emotet پیروی از اصل اعطای کمترین سطح دسترسی به کارکنان است. بهتر است کارمندان سازمان از حداقل سطح دسترسی برای انجام وظایف کاری خود برخوردار بوده و فقط افرداد محدودی به حساب کاربری مدیریتی دسترسی داشته باشند. بنابراین حتی اگر سیستم‌هایی که تحت اختیار کارمندانی با دسترسی‌های محدود قرار دارند دچار آلودگی شوند، احتمال گسترش بدافزارها کمتر خواهد شد. البته از آنجا که در این صورت مدیر شبکه باید وقت بیشتری را صرف ارتقا یا کاهش سطوح دسترسی کارکنان کند و کارمندان هم باید مدت زمانی را تا اعطای دسترسی مدنظرشان صبر کنند، انجام این اقدام به صورت دستی شاید باعث کاهش سرعت شود. توصیه می‌شود سازمان‌ها از ابزارهای خودکارسازی مناسب برای برطرف نمودن چنین مشکلاتی استفاده کنند.

در صورت آلودگی شبکه به Emotet چه کاری باید انجام داد؟

با وجود همه آموزش‌ها و تلاش‌های صورت گرفته برای مقابله با بدافزار Emotet همچنان امکان وقوع آلودگی‌های بدافزاری توسط آن وجود دارد. کارشناسان امنیتی توصیه می‌کنند در صورت آلودگی شبکه سازمان‌تان به این بدافزار، اقدامات زیر را در اسرع وقت انجام دهید:

جمع‌بندی

در صورت آلودگی به بدافزار ممکن است نیاز به انجام اقدام های بیشتری داشته باشید. بر اساس مواردی که در تاریخچه Emotet به آنها اشاره کردیم مقابله با آسیب‌های ایجاد شده توسط این تروجان چندان کار ساده و آسانی نیست. از این رو توصیه می‌شود که تمام تلاش‌تان را برای جلوگیری از آلودگی به بدافزار، باج‌افزار و سایر حملات سایبری انجام دهید. این روش نه تنها برای سازمان شما مقرون به صرفه‌تر است بلکه از افشای اطلاعات حساس شما نیز جلوگیری می‌کند. فراموش نکنید که همواره پیشگیری بهتر از درمان است.

[1] Malspam از ترکیب کلمات Malware و Spam ایجاد شده است.

[2] هرزنامه‌هایی که حاوی بدافزار هستند.

[3] Ransomware-as-a-Service

[4] Dynamic Link Lybrary

[5] بویشگر به برنامه‌ای رایانه‌ای یا قطعه‌ای سخت‌افزاری گفته می‌شود که می‌تواند به رهگیری و ضبط جریان اطلاعات در یک شبکه یا بخشی از یک شبکه رایانه‌ای بپردازد (ویکی‌پدیا).

[6] MS-ISAC

[7] National Cybersecurity and Communications Integration Center

[8] Server Message Block، پروتکلی که جهت به اشتراک‌گذاری فایل‌ها، چاپگرها و پورت‌های سریال مورد استفاده قرار می‌گیرد.

[9] Automatic Transfer System

[10] از اولین الگوریتم های رمزنگاری به روش کلید عمومی است که به صورت گسترده برای تأمین امنیت انتقال داده ها از آن استفاده می‌شود.

[11] فایل های جاوا اسکریپت و CSS تکراری با ایجاد درخواست های غیرضروری، سبب کاهش کارایی یک وب سایت شده و باعث به هدر رفتن زمان جهت اجرای جاوا اسکریپت تکراری می شوند.

[12] Distributed Denial of Service

[13] بارگذار نوعی بدافزار است که پس از نفوذ به یک شبکه، امکان انتقال و نصب پی‌لودهای مرحله دوم را برای طراحان خود فراهم می‌کند. این پی‌لودها می‌توانند شامل پیمانه‌های خود بدافزار یا اجزای طراحی شده توسط سایر مجرمان سایبری باشند.

[14] TrickBot یک تروجان سرقت اطلاعات است که از آسیب‌پذیری‌های مورد استفاده توسط باج‌افزار WannaCry، سوءاستفاده می‌کند.

[15] Outlook یک نرم افزار است که از آن برای ارسال و دریافت نامه‌های الکترونیکی استفاده می شود.

خروج از نسخه موبایل