اقدامات فوری: کنترل و خنثی‌سازی

 تعیین کنید که آیا حمله هنوز در حال انجام است یا خیر.

باج افزار Avaddon اگر مشکوک هستید که حمله ادامه دارد و ابزار لازم برای متوقف کردن آن را ندارید، دستگاه‌های آسیب‌دیده را شناسایی و فوراً ایزوله کنید. ساده‌ترین روش، جدا کردن کابل شبکه یا خاموش کردن آداپتور وای‌فای است. اگر آسیب به چند دستگاه محدود نیست، به جای جدا کردن دستگاه‌ها به صورت تکی، کل بخش‌های شبکه را در سطح سوئیچ از دسترس خارج کنید. دستگاه‌ها را تنها در صورتی خاموش کنید که نتوانید اتصال شبکه را قطع کنید.

ارزیابی خسارت

کدام نقاط انتهایی (endpoints)، سرورها و سیستم‌عامل‌ها آسیب دیده‌اند؟ چه چیزهایی از دست رفته است؟ آیا پشتیبان‌های شما (backups) سالم هستند یا مهاجم آن‌ها را حذف کرده است؟ اگر پشتیبان‌ها سالم هستند، فوراً یک نسخه آفلاین از آن‌ها تهیه کنید. همچنین بررسی کنید کدام دستگاه‌ها ایمن مانده‌اند؛ این دستگاه‌ها برای بازگرداندن وضعیت به حالت عادی حیاتی خواهند بود.

برنامه جامع واکنش به حادثه (incident response plan) دارید؟

اگر چنین برنامه‌ای ندارید، باید مشخص کنید چه کسانی باید در مدیریت این حادثه دخیل باشند. مدیران IT و تیم مدیریت ارشد ضروری هستند، اما ممکن است نیاز به استفاده از متخصصان امنیتی خارجی، مشاوره با بیمه سایبری و مشاوران حقوقی نیز داشته باشید. آیا باید حادثه را به نیروی انتظامی گزارش دهید یا مقامات حفاظت از داده را مطلع کنید؟ همچنین باید تصمیم بگیرید که چه اطلاعاتی به کاربران و مشتریان ارائه شود؛ بسیاری از آن‌ها ممکن است هنگام شروع کار با پیامی مشابه یادداشت باج‌گیری روی دسکتاپ خود مواجه شوند.

ارتباطات ایمن را رعایت کنید.

در مورد اتفاقی که در حال رخ دادن است صحبت کنید، اما ممکن است مهاجمان به مکالمات شما گوش دهند، بنابراین از کانال‌های ارتباطی معمولی خود استفاده نکنید. به عنوان مثال، اگر مهاجمان مدتی در شبکه شما بوده‌اند، احتمالاً به ایمیل‌ها دسترسی دارند.

اقدامات بعدی: بررسی و تحقیق

پس از موفقیت در مهار و خنثی‌سازی حمله، وقت آن است که بررسی کنید چه اتفاقی افتاده است تا احتمال وقوع مجدد آن را کاهش دهید. اگر در این کار مهارت ندارید، می‌توانید از خدمات تخصصی واکنش به حوادث و شکار تهدیدات استفاده کنید که به‌صورت 24/7 توسط ارائه‌دهندگان امنیتی مانند Sophos ارائه می‌شود.

براساس تجربه تیم Sophos Rapid Response، این موارد را می‌توان از فعالیت‌های باج‌افزار Avaddon در شبکه شما انتظار داشت:

 حضور طولانی مهاجمان در شبکه:

 مهاجمان معمولاً چند روز یا حتی چند هفته در شبکه شما حضور داشته‌اند. Avaddon یک باج‌افزار به عنوان سرویس (RaaS) است که شامل سرقت اطلاعات می‌شود. این عملیات توسط افراد حقیقی انجام می‌شود که بخشی از سود باج را دریافت می‌کنند. این افراد ابتدا شبکه هدف را بررسی کرده و داده‌های باارزش را سرقت می‌کنند تا با ایجاد اختلال حداکثری، مبلغ باج بیشتری طلب کنند.

مهاجمان در حملات Avaddon معمولاً بین 10 تا 28 روز در شبکه قربانی فعال بوده‌اند.

 روش‌های مختلف نفوذ به شبکه:

مهاجمان از روش‌های متعددی برای نفوذ به شبکه استفاده می‌کنند، از جمله ارسال اسپم‌های حاوی فایل‌های جاوا اسکریپت مخرب، سوءاستفاده از سرویس‌های RDP آسیب‌پذیر و VPNهای ضعیف.

 وب‌سایت‌هایی مانند Shodan.io می‌توانند اطلاعاتی درباره آسیب‌پذیری‌های شبکه شما به نمایش بگذارند. پیشنهاد می‌شود آدرس‌های IP خارجی خود را در این وب‌سایت بررسی کنید.

مهاجمان Avaddon سیستم‌های ویندوز و لینوکس را هدف قرار می‌دهند.

 دسترسی به حساب‌های ادمین دامنه:

 هدف اصلی مهاجمان دستیابی به حساب‌های ادمین دامنه است که بتوانند با استفاده از آن‌ها باج‌افزار را اجرا کنند. همچنین حساب‌هایی که به داده‌های حساس، سیستم‌های پشتیبان‌گیری و کنسول‌های مدیریت امنیتی دسترسی دارند، هدف قرار می‌گیرند.

ابزارهایی مانند Mimikatz برای سرقت اطلاعات حساب‌ها و افزایش سطح دسترسی استفاده می‌شوند. اگر امنیت، Mimikatz را مسدود کند، مهاجمان ممکن است از ابزارهایی مانند Microsoft Process Monitor برای استخراج اطلاعات از حافظه استفاده کنند.

اسکن شبکه:

مهاجمان تعداد سرورها، نقاط انتهایی، پشتیبان‌ها و داده‌های حیاتی شما را می‌شناسند. آن‌ها ابتدا دسترسی‌های موجود روی دستگاه محلی را بررسی کرده و سپس سراغ دستگاه‌های دیگر شبکه می‌روند.

نصب بک‌دورها:

مهاجمان برای دسترسی مداوم به شبکه و نصب ابزارهای اضافی، بک‌دورها را نصب می‌کنند. برخی از این بک‌دورها مانند Cobalt Strike امکان ارتباط منظم با سرورهای مهاجم را فراهم می‌کنند.

 سرقت اطلاعات پیش از رمزگذاری:

مهاجمان اغلب قبل از اجرای باج‌افزار، داده‌های سازمانی را سرقت می‌کنند. آن‌ها از ابزارهایی مانند WinRar برای جمع‌آوری داده‌ها و MegaSync برای انتقال داده به فضای ابری استفاده می‌کنند.

 آسیب به پشتیبان‌ها:

مهاجمان تلاش می‌کنند تا پشتیبان‌ها را رمزگذاری، حذف یا غیرفعال کنند. اگر پشتیبان‌ها به صورت آفلاین ذخیره نشده باشند، در معرض خطر هستند.

 شناسایی و غیرفعال کردن راهکارهای امنیتی:

مهاجمان بررسی می‌کنند چه راهکارهای امنیتی در شبکه فعال هستند و آیا امکان غیرفعال کردن آن‌ها وجود دارد. ابزارهایی مانند Windows Defender می‌توانند به راحتی توسط کسانی که به حساب ادمین دسترسی دارند، غیرفعال شوند.

اجرای باج‌افزار در زمان نامناسب:

مهاجمان معمولاً باج‌افزار را زمانی اجرا می‌کنند که کارشناسان IT یا امنیت آنلاین نیستند؛ مثلاً نیمه شب یا آخر هفته. این کار باعث می‌شود فرآیند طولانی رمزگذاری فایل‌ها بدون مزاحمت انجام شود.

نکته: فرآیند رمزگذاری ساعت‌ها طول می‌کشد.

یک نقطه انتهایی (endpoint) ویندوزی ممکن است تا زمان پایان فرآیند باج‌افزار، ده‌ها هزار یا حتی صدها هزار فایل رمزگذاری‌شده داشته باشد. در سرورهای فایل بزرگ، این تعداد ممکن است به میلیون‌ها فایل برسد. به همین دلیل، بیشتر حملات باج‌افزاری هدفمند در نیمه‌شب، آخر هفته‌ها یا تعطیلات اجرا می‌شوند؛ زمانی که افراد کمتری در حال نظارت هستند.

تا این مرحله، مهاجمان سعی می‌کنند مخفی بمانند، اما در این نقطه تاکتیک آن‌ها تغییر می‌کند. آن‌ها می‌خواهند شما بدانید که در شبکه حضور دارند و چه کاری انجام داده‌اند. آن‌ها می‌خواهند شما متوجه شوید چه میزان داده از دست رفته است و این کار عمداً انجام شده است. اکنون آن‌ها درخواست پرداخت دارند تا داده‌های شما را رمزگشایی کنند.

به همین دلیل است که تقریباً در همه حملات باج‌افزاری، فایل‌های رمزگذاری‌شده یک پسوند جدید به انتهای نام فایل خود اضافه می‌کنند. به عنوان مثال، فایل “MyReport.docx” ممکن است به “MyReport.docx.encrypted” تغییر یابد.

یادداشت‌های باج‌گیری نیز معمولاً به‌طور برجسته و در چندین محل نمایش داده می‌شوند و به آشفتگی و استرس اضافه می‌کنند.

نحوه انتشار

باج‌افزار در تمامی نقاط انتهایی (endpoints) و سرورهای آنلاین در زمان حمله توزیع شده است – البته اگر این هدف مهاجم باشد.

باج‌افزار به همان روشی که یک برنامه عادی نصب می‌شود، توزیع می‌شود؛ در بیشتر حملات، به صورت تصادفی در همه جهات گسترش نمی‌یابد. اگر سرورها رمزگذاری شده باشند، اما نقاط انتهایی خیر، این به این دلیل است که مهاجم عمداً فقط سرورها را هدف قرار داده است.

روش‌های مختلفی برای توزیع باج‌افزار وجود دارد. در مورد Avaddon، مهاجمان احتمالاً وظایف زمان‌بندی‌شده‌ای (scheduled tasks) روی نقاط انتهایی و سرورها در سراسر شبکه ایجاد کرده‌اند که باج‌افزار را در یک زمان از پیش تعیین‌شده اجرا می‌کنند.

یک روش دیگر که توسط خانواده‌های مختلف باج‌افزار استفاده می‌شود، ترکیبی از اسکریپت‌های بچ (Batch Scripts) و ابزار Microsoft PsExec است. PsExec ابزاری قدرتمند برای اجرای دستورات روی دستگاه‌های راه دور است. مهاجم ممکن است اسکریپتی ایجاد کند که آدرس‌های IP شما را حلقه بزند، با استفاده از PsExec باج‌افزار را به هر دستگاه کپی کرده و آن را اجرا کند.

اگرچه بیشتر راهکارهای امنیتی (از جمله Sophos) PsExec را به طور پیش‌فرض مسدود می‌کنند، اما مدیران شبکه اغلب استفاده از آن را مجاز می‌کنند زیرا آن را مفید می‌دانند – و متأسفانه مهاجمان از این موضوع آگاه هستند.

مهاجمان همچنین می‌توانند یک اسکریپت ورود به سیستم GPO جدید ایجاد کرده یا یک اسکریپت موجود را ویرایش کنند. اگر این تغییرات شناسایی نشوند، ممکن است حمله با هر بار راه‌اندازی یک دستگاه و اتصال آن به دامنه دوباره فعال شود. این موضوع می‌تواند این تصور را ایجاد کند که باج‌افزار در حال گسترش است، در حالی که این صرفاً نتیجه اجرای مجدد GPO است.

اجرای باج‌افزار پایان کار نیست.

مهاجمان Avaddon ممکن است از ابزارهایی که قبلاً نصب کرده‌اند استفاده کنند تا در شبکه باقی بمانند، وضعیت را رصد کنند و حتی ایمیل‌های شما را بخوانند تا واکنش شما به حمله را بررسی کنند. برای مثال، اگر ایمیلی به مدیرعامل ارسال شود که بیان کند “سرور X حاوی پشتیبان‌ها بوده و مشکلی وجود ندارد”، ممکن است این اطلاعات توسط مهاجم خوانده شود و او همچنان به آن سرور دسترسی داشته باشد.

مهاجم همچنین ممکن است تا زمان بازیابی شما منتظر بماند و سپس یک حمله دوم را آغاز کند تا نشان دهد که تا زمان پرداخت، این روند ادامه خواهد داشت.

یکی از تاکتیک‌های دیگر مهاجمان Avaddon برای ایجاد فشار بیشتر، اجرای یک حمله DDoS است که هدف آن ایجاد اختلال در عملیات و ارتباطات است.

مهاجمان احتمالاً در زمانی که در شبکه شما حضور داشته‌اند، اطلاعات حساس و حیاتی کسب‌وکار شما را سرقت کرده‌اند.

آن‌ها تهدید می‌کنند که این اطلاعات را به‌صورت عمومی منتشر خواهند کرد. کنترل‌کنندگان RaaS باج‌افزار Avaddon یک سایت عمومی برای انتشار اطلاعات سرقت‌شده دارند:

avaddongun7rngel[.]onion.

اهداف حمله توسط شرکای Avaddon تهدید می‌شوند که اگر با آن‌ها تماس نگیرند یا مذاکره شکست بخورد، داده‌هایشان در این سایت منتشر خواهد شد. گاهی داده‌های ارزشمندتر نیز ممکن است به مهاجمان دیگر فروخته شود تا در حملات بعدی استفاده شود.

مهاجمان Avaddon مدعی هستند که اگر قربانی تماسی نگیرد، انتشار داده‌ها را از چند روز تا یک هفته پس از حمله آغاز می‌کنند. معمولاً آن‌ها ابتدا حدود ۵٪ از داده‌ها را منتشر می‌کنند. اما ممکن است چند هفته یا حتی بیشتر طول بکشد تا داده‌ها به‌طور کامل منتشر شوند.

در نهایت، حتی اگر مهاجمان قول دهند که اطلاعات شما را پس از پرداخت حذف می‌کنند، هیچ تضمینی وجود ندارد که این کار انجام شود.

اقداماتی که مدافعان می‌توانند انجام دهند

برای تقویت امنیت IT خود در آینده، می‌توانید گام‌های پیشگیرانه زیر را بردارید:

نظارت 24/7 بر امنیت شبکه:

شبکه خود را به طور مداوم مانیتور کنید و از پنج نشانه اولیه حضور مهاجم آگاه باشید تا بتوانید حملات باج‌افزاری را پیش از اجرا متوقف کنید.

غیرفعال کردن دسترسی مستقیم RDP از اینترنت:

 برای جلوگیری از دسترسی مجرمان سایبری به شبکه‌ها، پروتکل دسکتاپ از راه دور (RDP) که به اینترنت متصل است را خاموش کنید. اگر به RDP نیاز دارید، آن را پشت یک اتصال VPN قرار دهید و از احراز هویت چند عاملی (MFA) استفاده کنید.

آموزش کارکنان:

کارکنان را در مورد شناسایی حملات فیشینگ و اسپم‌های مخرب آگاه کنید و سیاست‌های امنیتی قوی اجرا کنید.

ایجاد نسخه‌های پشتیبان منظم:

از داده‌های مهم و به‌روز خود در دستگاه‌های ذخیره‌سازی آفلاین نسخه پشتیبان تهیه کنید. توصیه استاندارد برای نسخه‌های پشتیبان روش 3-2-1 است:

3 نسخه از داده‌ها

استفاده از 2 سیستم متفاوت

نگهداری 1 نسخه به صورت آفلاین

 جلوگیری از دسترسی مهاجمان به راهکارهای امنیتی:

از یک راهکار پیشرفته با کنسول مدیریت مبتنی بر ابر استفاده کنید که دارای احراز هویت چندعاملی و مدیریت مبتنی بر نقش (Role-Based Administration) باشد تا حقوق دسترسی محدود شود.

پیاده‌سازی امنیت لایه‌ای (defense-in-depth):

 به یاد داشته باشید، هیچ راهکار جادویی برای محافظت وجود ندارد. استفاده از یک مدل امنیتی چندلایه ضروری است – این لایه‌ها را به تمام نقاط انتهایی و سرورها گسترش دهید و مطمئن شوید که این سیستم‌ها می‌توانند داده‌های مرتبط با امنیت را به اشتراک بگذارند.

داشتن یک برنامه پاسخ به حادثه مؤثر:

یک برنامه پاسخ به حادثه (Incident Response Plan) مؤثر تدوین کرده و در صورت نیاز آن را به‌روزرسانی کنید. اگر اطمینان ندارید که مهارت یا منابع لازم برای این کار را دارید، یا برای نظارت بر تهدیدها و پاسخ به حوادث اضطراری آماده نیستید، به کمک گرفتن از کارشناسان خارجی فکر کنید.

نتیجه‌گیری

مقابله با یک حمله سایبری تجربه‌ای پراسترس است. ممکن است وسوسه شوید که تنها تهدید فعلی را رفع کرده و پرونده حادثه را ببندید. اما حقیقت این است که در این حالت احتمالاً تمام نشانه‌های حمله را حذف نکرده‌اید.

مهم است زمانی را برای شناسایی نحوه ورود مهاجمان، یادگیری از اشتباهات احتمالی و بهبود امنیت اختصاص دهید. اگر این کار را انجام ندهید، با خطر مواجه خواهید شد که همان مهاجم یا یک مهاجم دیگر ممکن است هفته آینده دوباره به شما حمله کند.