چرایی و چگونگی حمله اخیر باجافزاری به یکی از زیرساختهای کشور
تاریخ انتشار: ۵ آبان ۱۳۹۹ | کد خبر: ۲۹۷۶۹۶۵۶
به گزارش مهر به نقل از مرکز مدیریت راهبردی افتای ریاست جمهوری، در پی بروز یک حادثه باجافزاری در یکی از زیرساختهای حیاتی در ماه گذشته، تیم پاسخ به حادثه مرکز افتا ضمن حضور در محل این سازمان و بررسی شواهد حادثه، به کمک کارشناسان همان سازمان، اقدامات لازم را برای مدیریت حادثه انجام داده است.
اقدامات مهاجمین به گونهای بوده است که بعضی از فایلهایِ اکثر کلاینت ها و سرورهای متصل به دامنه، دچار تغییر شدهاند به نحوی که برخی از فایلها فقط پسوندشان تغییر یافته، برخی دیگر فقط بخشی از فایل و بعضی دیگر بطور کامل رمز شدهاند.
بیشتر بخوانید:
اخباری که در وبسایت منتشر نمیشوند!
بررسیهای اولیه در آزمایشگاه مرکز افتا نشان میدهد که مبدا اصلی حملات، اجرای یک کد پاورشل از روی یکی از سرورهای DC سازمان بوده است. اما هنوز نحوه نفوذ به این سرورها مشخص نیست ولی شواهدی مبنی بر سوءاستفاده از آسیب پذیری Zero logon در سرورها وجود دارد.
این حمله به صورت File-less انجام شده است و در حقیقت هیچ فایلی روی سیستمهای قربانیان اجرا نشده و تمام عملیات مخرب توسط اجرای یک کد پاورشل از راه دور انجام شده است.
مهاجمان سایبری تنها بخشی از فایلها را رمزگذاری و همین فایلها را در کمترین زمان تخریب کردهاند و برای جلوگیری از ایجاد اختلال در عملکرد خود سیستمعامل، بخشی از فایلها و مسیرهای خاص در فرایند رمزگذاری درنظر نگرفتهاند.
در این حمله باج افزاری، به دلایل مختلف همچون عدم جلوگیری از فرایند رمزگذاری، چند برنامه کاربردی حذف و یا غیرفعال و برای جلوگیری از بازگرداندن فایلهای قربانی، Shadow-Copy و Restore-Point سامانه مربوط، پاک می شود.
مهاجمین در پوشههایی که فایلهای آن رمزنگاری شدهاند، فایلی را به نام Readme.READ ایجاد کردند که حاوی آدرسهای ایمیل آنها است.
کارشناسان واحد امداد مرکز مدیریت راهبردی افتا، برای مقابله با اینگونه باج افزارها توصیه می کنند حتما کلاینتهای کاری پس از اتمام ساعات کاری خاموش شوند و اتصال پاور آنها قطع شود.
غیرفعال کردن اجرای کد از راه دور با ابزارهایی مانند Powershell/PsExec و همچنین سیگنال Wake-on-LAN ) WoL) در BIOS/UEFI از دیگر توصیههای امنیتی برای مقابله با این گونه باج افزارها عنوان شده است.
کارشناسان واحد امداد افتا همچنین از مسئولان و کارشناسان آی تی خواسته اند تا برای جلوگیری از ارسال فرمان WOL در شبکه، پورتهای ۷ و ۹ UDP را ببندند.
برای جلوگیری از سوءاستفاده بدافزارها، مقاوم سازی و به روزرسانی سرویس های AD و DC توصیه می شود و باید برای شناسایی هر گونه ناهنجاری، بصورت دوره ای لاگ های ویندوز بررسی شوند.
مرکز مدیریت راهبردی افتای ریاست جمهوری، پشتیبان گیری منظم و انتقال فایلهای پشتیبان را به خارج از شبکه، از دیگر راههای مقابله با هر نوع باج افزاری عنوان میکند و از همه مسئولان و کارشناسان آی تی زیرساختهای کشور خواسته است تا همه این توصیهها را به دقت انجام دهند.
مشروح بررسی تحلیلی و فنی این باج افزار به همراه مستندات لازم، در سایت مرکز افتا اینجا منتشر شده است.
منبع: الف
درخواست حذف خبر:
«خبربان» یک خبرخوان هوشمند و خودکار است و این خبر را بهطور اتوماتیک از وبسایت www.alef.ir دریافت کردهاست، لذا منبع این خبر، وبسایت «الف» بوده و سایت «خبربان» مسئولیتی در قبال محتوای آن ندارد. چنانچه درخواست حذف این خبر را دارید، کد ۲۹۷۶۹۶۵۶ را به همراه موضوع به شماره ۱۰۰۰۱۵۷۰ پیامک فرمایید. لطفاً در صورتیکه در مورد این خبر، نظر یا سئوالی دارید، با منبع خبر (اینجا) ارتباط برقرار نمایید.
با استناد به ماده ۷۴ قانون تجارت الکترونیک مصوب ۱۳۸۲/۱۰/۱۷ مجلس شورای اسلامی و با عنایت به اینکه سایت «خبربان» مصداق بستر مبادلات الکترونیکی متنی، صوتی و تصویر است، مسئولیت نقض حقوق تصریح شده مولفان در قانون فوق از قبیل تکثیر، اجرا و توزیع و یا هر گونه محتوی خلاف قوانین کشور ایران بر عهده منبع خبر و کاربران است.
خبر بعدی:
۷ سیلو به صورت شبانه روزی گندم کشاورزان دهلران را خریداری می کنند
حسن اسماعیلی در گفت و گو با خبرنگار مهر اظهار کرد: هفت سیلوی تمام مکانیزه ذخیره گندم با ظرفیت بیش از ۲۰۰ هزار تُن کار خرید گندم از کشاورزان دهلرانی را بدون وقفه و به صورت شبانه روز انجام میدهند.
وی بیان کرد: سیلوهای خرید از لحاظ سخت افزاری و نرم افزاری و همچنین عوامل تشخیص و ذیحساب و ناظرین اداره کل غله و خدمات بازرگانی استان ایلام در سیلوها جهت نظارت بر روند خرید مستقر میباشند.
اسماعیلی عنوان کرد: قیمت گندم معمولی در سال زراعی جاری هر کیلو ۱۷۵ هزار ریال و نرخ گندم دوروم نیز ۱۸۰ هزار ریال است.
کد خبر 6090486