نوشته‌شده در

Ransomware همانطور که گروهها از مدلهای سرویس پذیر استقبال می کنند ، تکامل می یابد

در نگاه اول ، گزارش این هفته از فروشنده نرم افزار امنیت سایبری McAfee نشان می دهد که میزان بروز باج افزار در نیمه اول به نصف کاهش یافته است ، به نظر می رسد برای جهانی که پیامدهای این بدافزار به ظاهر فراگیر را احساس می کند ، خبر خوبی است. [19659002] با این حال ، کاهش 50 درصدی باج افزار طی سه ماه اول سال 2021 ارتباط چندانی با یافتن حالت های دیگر سرقت اطلاعات توسط مجرمان اینترنتی ندارد و بیشتر به دلیل تکامل به دور از حملات گسترده باج افزار چند هدفه است که با بازده کمی به باج افزار همراه است – بعنوان یک سرویس (RaaS) کمپین هایی که سازمان های کمتر اما بزرگتری را با باج افزارهای سفارشی تر هدف قرار می دهند ، که به نوبه خود نتایج سودآورتری را به ارمغان می آورند.

محققان مک آفی تغییر در استراتژی باج افزار را این هفته در گزارش تهدیدات مک آفی: ژوئن 2021 عنوان کردند. در این گزارش ، محققان همچنین در مورد چگونگی تکثیر برنامه های 64 بیتی CoinMiner به رشد 117 درصدی ارزهای رمزنگاری شده صحبت کردند. بدافزار استخراج سکه و همچنین افزایش انواع جدید بدافزار مبتنی بر Mirai که به رشد 55 درصدی بدافزار با هدف قرار دادن دستگاه های اینترنت اشیا (IoT) و افزایش 38 درصدی حملات به سیستم های لینوکس کمک می کند.

Ransomware Focus

اما همانطور که در دنیای امنیت سایبری بسیار زیاد است ، در این گزارش تمرکز بر باج افزار نیز وجود داشت. به گفته راج سامانی ، همكار مک آفی و دانشمند ارشد ، مجرمان اینترنتی به طور مداوم در حال تکامل تکنیک های خود هستند تا بالاترین بازده پولی را با کمترین میزان خطر کسب کنند. انتقال باج افزار از تلاش برای بدست آوردن هزینه های ناچیز از میلیون ها هدف فردی به کمپین های RaaS پشتیبانی می کند که از بسیاری از بازیگران بد در حملات به سازمان های کمتر اما بزرگتر و اخاذی آنها برای پول بیشتر پشتیبانی می کند.

در حالی که 2021 برای این امر مورد توجه بوده است. سامانی در یک مصاحبه از طریق پست الکترونیکی به eSecurity Planet گفت: حملات باج افزارهای سرعین مانند حمله به Colonial Pipeline ، روند دستیابی به اهداف بزرگتر در حال انجام بوده است.

"این چند سال قدمت دارد ، " او گفت. "ما از سال 2018 دیدیم که Ryuk هدف قرار دادن سازمان ها را شروع کرد ، اما قبل از این GandCrab و SamSam بود. این واقعاً GandCrab بود که از مدل RaaS استقبال کرد. به همین ترتیب ، در حدود 2019/2020 ، ما شاهد معرفی سایت های نشت هستیم. درنهایت ، بسیاری از این گروه ها رویکردهای سایر گروه ها را که اثبات شده اند کپی می کنند. "

Leak Sites

سایت های نشت بخشی از تاکتیک نسبتاً جدید دیگر برای گروه های باج افزار است که می خواهند فشار بیشتری به سازمان ها برای پرداخت دیه بدهند. مجرمان اینترنتی معمولاً اطلاعات قربانی را در دست می گرفتند ، آن را رمزنگاری کرده و سپس با پرداخت این قول – که همیشه محقق نمی شود – وعده پرداخت می کنند که پس از پرداخت دیه ، برای رمزگشایی داده ها یک کلید برای قربانیان ارسال می کنند.

با این حال ، بازیگران بد اکنون تمایل دارند چرخش دیگری را در روش خود قرار دهند. آنها قبل از رمزنگاری داده های قربانیان خود را می دزدند و تهدید می کنند که اطلاعات سرقتی را در "سایت های نشتی" منتشر می کنند و سپس به رسانه ها در مورد حمله هشدار می دهند. نام ده ها گروهی که تهدید به نشت اطلاعات می کنند شامل MAZE ، AKO ، REvil ، DarkSide ، Ranzy Locker و Ragnarok است.

به خصوص DarkSide این روزها از شهرت بالایی برخوردار است. بیشتر محققان می گویند این گروه مستقر در روسیه عامل حمله باج افزار به Colonial Pipeline ، شرکتی است که بیشتر توزیع گاز در جنوب شرقی ایالات متحده را بر عهده دارد. این شرکت مجبور شد برخی از فعالیت های خود را تعطیل کند ، که منجر به کمبود و طولانی شدن صف در ایستگاه های سوخت در سراسر منطقه شد. استعمار سرانجام تقریباً 5 میلیون دلار (75 بیت کوین) برای حمله به رمزگشایی بابت رمز رمزگشایی پرداخت ، که رمزگشایی آن چنان کند انجام شد که شرکت مجبور شد برای بازیابی سرویس خود به پشتیبان های خود اعتماد کند.

طبق گزارش ها ، این گروه همچنین حدود 100 گیگابایت داده از سرورهای استعمار قبل از شروع حمله بدافزار به سرقت رفته است.

Ransomware موضوع گفتگوهای سطح بالا

در گزارش خود ، محققان مک آفی خاطر نشان کردند که باج افزار به طور کلی – و به طور خاص DarkSide – منجر به یک موضوع دستور جلسه در گفتگوهای بین رئیس جمهور ایالات متحده و بایدن و رئیس جمهور روسیه در حالی که ما قصد تفصیلی در مورد فضای سیاسی نداریم ، اما قطعاً باید تصدیق کنیم که این تهدیدی است که خدمات حیاتی ما را مختل می کند. علاوه بر این ، دشمنان در فضایی پشتیبانی می شوند که تحقیقات دیجیتالی را با موانع قانونی به چالش می کشد که جمع آوری شواهد دیجیتالی را تقریباً از برخی مناطق خاص غیرممکن می سازد. "

محققان McAfee همچنین نوشتند كه در حالی كه حمله Colonial Pipeline عناوین بسیاری از روزنامه ها را به خود اختصاص داده بود ، گروه های باج افزار Babuk ، Conti ، Ryuk و REvil قبل از مبارزات DarkSide با طرح های RaaS كه سازمان های بزرگتری را هدف قرار می داد ، حمله كردند ، بیشتر آنها مورد حمله قرار گرفتند انواع ایجاد شده از یک خانواده باج افزار. طبق گزارش McAfee ، REVil – که به گفته اجرای قانون فدرال عامل حمله اخیر به JBS Foods است – بیشترین گروه باج افزار در سه ماهه اول است.

شبکه های وابسته RaaS به بازیگران بد امکان می دهد تا خطر سازمان های بزرگ را کاهش دهند فن آوری های حفاظت سایبری شناسایی آنها ، که به نوبه خود باعث بهبود حملات و پرداخت دیه می شود. کمپین هایی که از یک نوع باج افزار برای هدف قرار دادن بسیاری از قربانیان استفاده می کنند ، "پر سر و صدا" هستند و همین امر منجر به شناسایی و مسدود کردن سیستم در نهایت می شود.

تغییر به RaaS

این تغییر مداوم به RaaS نیز در کاهش انواع برجسته باج افزارها ، از 19 ژانویه تا 9 ماه مارس.

چنین تلاش های RaaS نشان می دهد که محققان امنیت سایبری و به طور کلی دنیای فناوری اطلاعات باید بیش از میزان حجم ، به تأثیر حملات باج افزار نگاه کنند ، McAfee's Samani وی گفت.

سامانی گفت: "در حالی كه ممكن است حجم خانواده های باج افزار در همان شیوع قبلی نباشد ، اما گروه هایی كه هنوز در كار هستند همچنان رویكردهای نوآورانه تری را برای مصالحه و اخاذی از پرداخت های بالاتر پیدا می كنند."

Feds Step Up Response

دولت فدرال به طور فزاینده ای درگیر عقب راندن جرایم اینترنتی ، به ویژه باج افزار است. وزارت امنیت داخلی (DHS) برای چند سال از ترس قربانیان باج افزار خواسته است تا دیه ها را پرداخت نکنند ، زیرا بیم این پول کمک می کند حملات بیشتر شود. علاوه بر این ، شورای امنیت ملی در اوایل این ماه یادداشتی را برای شرکت های آمریکایی ارسال کرد و از آنها خواست که تهدید را جدی بگیرند و مواردی را که می توانند برای محافظت از خود بردارند مشخص کند.

علاوه بر این ، آژانس امنیت سایبری و زیرساخت ایالات متحده (CISA) و FBI هشدار با راهنمایی بر اساس چارچوب MITER [email protected] برای حمایت از حیاتی و دولت بایدن یک دستورالعمل برای بررسی و بهبود آمادگی و واکنش به امنیت سایبری دولت فدرال صادر کرد. DHS شرایط لازم برای امنیت سایبری را برای دارندگان و مجریان مهم خط لوله صادر کرد.

Ransomware هیچ جایی نمی رود

ریتا گورویچ ، بنیانگذار و مدیرعامل شرکت امنیت سایبری Sphere ، با بیان تغییر دیگری در استراتژی ، اظهار داشت: 19659002] "چند سال پیش ، باج افزار عمدتا بر هدف قرار دادن مصرف کنندگان متمرکز بود ، اما اخیراً ما شاهد تغییر صحنه به سمت شرکت های پردرآمد هستیم" ، گورویچ در واکنش به اخبار حملات جدید Revil به حمله به eSecurity Planet شرکت پوشاک شرکت ارتباطات فرانسوی و تشخیص پزشکی Grupo Fluery. "این حملات پیچیده تر شده است ، و از استراتژی فیشینگ شناخته شده با استفاده از روش ایمیل انبوه به استراتژی فیشینگ نیزه ، که بسیار هدفمند است ، کشف می شود و موفقیت آنها بسیار بالاتر است. سهولت انجام باج افزار نیز مسئله ای است زیرا نرم افزار باج افزار می تواند به راحتی از طریق darknet خریداری شود. "

وی همچنین خاطر نشان كرد كه" اقدامات اخیر دولت فدرال و ابتكارهای شركت باعث تغییر روایت از پاسخ به جلوگیری از حملات باج افزار. تمرکز متخصصان فناوری اطلاعات و امنیت اکنون بر روی اطمینان از وجود نسخه پشتیبان ، افزایش آموزش برای کاربران و [leveraging] یک مدل حاکمیت دسترسی موثر است. متخصصان فناوری اطلاعات و امنیت همچنین باید با محیط جدید خود سازگار شوند ، جایی که مهارت هایی که چند سال پیش با موفقیت به کار گرفته اند ممکن است در برابر حملات پیچیده باج افزار امروز کافی نباشد. "

در حالی که افزایش RaaS عامل اصلی کاهش این میزان است. به گفته سامانی ، نمونه های باج افزار به طور کلی در سه ماهه اول تنها یک مورد نیست.

وی گفت: "ما تقریباً هر سال پس از کریسمس و تعطیلات شاهد این روند در جرایم اینترنتی هستیم." "یک افت سرعت پس از تعطیلات وجود دارد ، سپس سه ماهه اول یک رمپ افزایش می یابد ، سپس در تابستان فرو می رود زیرا مجرمان اینترنتی نیز به تعطیلات احتیاج دارند. سپس دوباره شاهد افزایش سطح شیب دار در اواخر سال هستیم ، شاید چون مجرمان برای خرید هدایای کریسمس به پول احتیاج دارند. "

TTP های برتر Ransomware و اقدامات دفاعی برای برداشتن

فروشنده شبیه سازی دشمن Scythe این هفته گزارشی در مورد تاکتیک ها ، روش ها و روش های برتر باج افزار (TTP). در زیر جدولی از MTP ATT & CK TTP وجود دارد که به دنبال آن مراحل حفاظت توصیه شده توسط Scythe دنبال می شود.

10 TTP برتر باج افزار یا رفتارهایی که باج افزارهای Conti ، DarkSide ، Egregor ، Ryuk و Maze از آنها استفاده می کنند

دسترسی اولیه T1078 – حساب های معتبر
اجرا T1059.001 – PowerShell
و کنترل T1071 – پروتکل لایه کاربرد و T1573 – کانال رمزگذاری شده (HTTPS)
Discovery T1082 – کشف اطلاعات سیستم

T1057 – فرآیند کشف

افزایش امتیاز T1053.005 – برنامه ریزی وظیفه / شغل: وظیفه برنامه ریزی شده
مجموعه T1074.001 – داده ها مرحله بندی شده: محلی سازی داده های محلی

T1560 – بایگانی داده های جمع آوری شده

Exfiltration T1041 – Exfiltration over C2 Channel (HTTPS)
Impact T1486 – Data Encrypted for Impact

recommendationsScyware 2 احراز هویت چند عاملی را در همه حسابهای کاربری فعال کنید (ابتدا اینترنت و سپس داخلی) ، به ویژه در هرجایی که به دسترسی معتبر نیاز دارید زیرا حسابهای معتبر روش اصلی دسترسی اولیه است.
  • شناسایی و هشدار در مورد اجرای PowerShell ، که بهترین روش اجرای است کشف شده توسط باج افزار. به دلیل راهکارهایی که از PowerShell استفاده می کنند ، برای کاهش میزان وقایع لازم است تنظیم شود.
  • اجرای پراکسی برای ترافیک خروجی اینترنت ، زیرا HTTPS بهترین روش کنترل و کنترل است.
  • شناسایی و هشدار در سیستم هایی که به طور مداوم فراخوانی می کنند به یک دامنه خاص ، زیرا این رفتار کنترل و کنترل ترافیک است.
  • میزان ترافیکی را که به خارج از کشور خارج می شود کنترل کنید تا میزان انفجار را تشخیص دهید.
  • هنگام ایجاد کارهای برنامه ریزی شده جدید ، شناسایی و هشدار دهید.
  • ایجاد پشتیبان و آزمایش بازیابی از منابع آفلاین.

    • نوشته‌شده در

    Pipeline Ransomware Attack آسیب پذیری های حیاتی را نشان می دهد

    در بزرگترین حمله سایبری تاکنون به زیرساختهای مهم در ایالات متحده ، خط لوله استعماری – که 5 هزار و 500 مایل از هوستون به شهر نیویورک می رسید – خطوط اصلی خود را در روز جمعه 7 مه متوقف کرد ، زمانی که مدیران باج افزار پیشرفته را از داخل کشف کردند.

    روز پنجشنبه ، یک روز قبل از حمله باج افزار ، گروه جنایی سایبری DarkSide مستقر در روسیه بیش از 100 گیگابایت داده را سرقت کرد ، به DarkSide اهرم قدرت بیشتری برای استخراج دیه از Colonial Pipeline اضافه کرد ، که برخی از آنها تصور می کردند در پایان می تواند باج بدهد تا از یک فاجعه طولانی و بالقوه جلوگیری کند. خاموش کردن روز دوشنبه ، 10 مه ، استعمار اعلام كرد كه "هدف خود را برای بازگرداندن خدمات عملیاتی تا پایان هفته" تعیین كرده است ، این بدان معناست كه ایالات متحده شرقی احتمالاً روزها با عدم اطمینان در مورد تأمین انرژی خود روبرو خواهد شد.

    این حمله باید به عنوان یک زنگ خطر برای سازمانهایی در زیرساختهای حیاتی که قادر به انجام اقدامات حفاظتی باج افزار نیستند و دفاعی امنیتی پیشرفته سایبری را که سطح حمله بالقوه را محدود می کند ، مانند ریز تقسیم بندی و اعتماد صفر ، برای جداسازی بهتر داده های مهم و فناوری عملیاتی (OT) ، به کار گرفته شده است.

    همچنین بخوانید: ریز تقسیم بندی: تکامل بعدی در امنیت سایبری

    حدس و گمان راه حمله استعماری

    استعمار ، دفتر مرکزی آن در آلفارتا ، جورجیا ، بزرگترین تأمین کننده انرژی تصفیه شده در ایالات متحده است. خط لوله استعماری 45 درصد از بنزین ، گازوئیل ، سوخت جت و سوخت گرمایشی ساحل شرقی ایالات متحده را تأمین می کند. استعمار با تحریک برجسته در جورجیا ، کارولینای جنوبی ، کارولینای شمالی ، تنسی و ویرجینیا ، 70٪ سوخت مایع این ایالت های جنوب شرقی را تأمین می کند. خطوط اصلی و استعمار کل روزانه 3.4 میلیون بشکه نفت و گاز طبیعی را در ایالات متحده حمل می کنند ، یا تقریبا 150 میلیون گالن – مبلغی که صنعت حمل و نقل ، راه آهن و کشتی نمی تواند با وجود کاهش محدودیت دستورات اضطراری مطابقت داشته باشد ، بنابراین استعمار را تحت فشار قرار می دهد برای حل بحران قبل از اینکه ساحل شرقی را فلج کند.

    کلونیال پس از شناسایی حمله باج افزار در روز جمعه ، اظهار داشت که "برخی از سیستم ها را به صورت آفلاین برای جلوگیری از تهدید انجام می دهند ، که به طور موقت تمام عملیات خط لوله را متوقف کرده و برخی از IT ما را تحت تأثیر قرار داده است. سیستم های." همانطور که تأمین کننده انرژی تلاش می کند تخلف را برطرف کند ، شرکت FireEye Mandiant را امضا کرده است تا تحقیقات را انجام دهد ، زیرا FireEye پس از فاش شدن نفوذ Sunburst در SolarWinds در دسامبر همچنان برای خود نامی به وجود آورد.

    شرکت های امنیتی سایبری و افراد داخلی گمانه زنی کردند

    فروشنده امنیت سایبری انگلستان Digital Shadows به پراکسی گفت که با دسترسی مهندسان بیشتر از راه دور به سیستم های کنترل ، تعجب آور نخواهد بود اگر دسترسی از راه دور با سازماندهی آزاد ، آسیب پذیری اصلی باشد.

    در صبح روز دوشنبه توییت ، مدیر سابق CISA ، کریس کربس در توییت خود نوشت:

    زمان تا استراحت oration

    اگر مهاجمان فقط به سیستم های رایانه ای تجاری محدود بودند ، مدیر عامل دراگوس ، راب لی به پولیتیکو گفت ، "من فکر می کنم این کار کوتاه مدت خواهد بود."

    پاسخ سریع اکثر سازمان ها برای خاموش کردن سیستم های مهم ماموریت در یک تلاش برای جلوگیری از گسترش ذاتاً منجر به برخی از زمان خرابی می شود. فقط وخیم تر کردن وضعیت اقتصادی ، تامین سوخت برای دو خط اصلی حمل سوخت از پسادنا ، تگزاس به گرینزبورو ، کارولینای شمالی ، در ماه های اخیر به دلیل کاهش تقاضا برای انرژی در طی همه گیر شدن ، کاهش یافته بود.

    بنیانگذار CrowdStrike و دیمیتری آلپروویچ ، CTO سابق روز یکشنبه از طریق توییتر اظهار داشت:

    استعمار در موقعیتی است که شروع مجدد طولانی مدت می تواند برای سازمان و اقتصاد ایالات متحده ویرانگر باشد. تحلیلگر بازار نفت ، گوراو شارما به پراکسی گفت ، "مگر اینکه آنها این مشکل را تا روز سه شنبه مرتب کنند ، آنها در دردسر بزرگی به سر می برند … اولین مناطقی که آسیب می بینند می توانند آتلانتا و تنسی باشند. پس از آن اثر دومینو به نیویورک افزایش می یابد. "

    پاسخ صنعت فدرال و صنعت امنیت

    همانطور که رئیس جمهور بایدن در اواخر آوریل خطاب به ملت گفت ، eSecurity Planet در مورد احتمال حضور بیشتر دولت در ایجاد زیرساخت های امنیت سایبری قوی تر برای نهادهای دولتی و خصوصی. در سخنرانی مشترک وی ، استراتژی سایبری بایدن متمرکز بر مهار تهدیدهای مداوم پیشرفته (APT) از روسیه است ، اما تهدیدهای سایبری پیشرفته همچنان استانداردهای انتساب را برای مقصر دانستن بین کشورها پایین می آورند ، و روسیه نشانه چندانی از پاسخگویی این بازیگران در کشور نشان نمی دهد

    قبل از حمله استعمار ، وزارت انرژی و CISA ابتکاری را برای کار با عملیات سیستم کنترل صنعتی برای بهبود شناسایی امنیت سایبری آغاز کردند و در فوریه ، CISA کتابخانه منابع امنیت سایبری خط لوله را منتشر کرد.

    همچنین بخوانید : بیش از 75 درصد Ransomware از سخنرانان روسی حاصل می شود

    تعداد معدودی از آژانس های فدرال اکنون در حال بررسی این حمله هستند ، با CISA و FBI اظهار داشتند که احتمالاً یک کشور-ملت نیست بلکه گروهی به نام DarkSide نامیده می شود اقامت در روسیه دیمیتری آلپروویچ ، بنیانگذار Crowdstrike ، "با توجه به سیاست آشکار روسیه در پناه دادن و تحمل جرایم اینترنتی ، بی اهمیت است که آیا آنها برای دولت کار می کنند یا نه ، بی اهمیت است."

    در چند روز پس از انتشار اخبار ، بسیاری از مقامات برجسته کاپیتول هیل موارد خود را به اشتراک گذاشته اند

    هنگامی که کنگره در مورد قانون گسترده زیرساخت ها بحث می کند ، حمله خط لوله استعماری این واقعیت را تأکید می کند که امنیت سایبری خود زیرساخت حیاتی است و بنابراین احتمالاً تمرکز فدرال افزایش می یابد. [19659002] با افزایش حملات باج افزار به زیرساخت های مهم بین سالهای 2018 تا 2020 566٪ ، امنیت این منابع از قبل مورد توجه قرار گرفته بود. ماه گذشته ، گروه ویژه بخش خصوصی باج افزار (RTF) کارزاری را برای کاهش حملات باج افزار جهانی آغاز کرد. چارچوب جامع اقدام آنها 48 توصیه برای شناسایی و ایجاد اختلال در باج افزار ارائه می دهد. در جنوب شرقی ایالات متحده که خط لوله استعماری از تگزاس به نیوجرسی را نشان می دهد. ” width=”696″ height=”557″ srcset=”https://www.esecurityplanet.com/wp-content/uploads/2021/05/Colonial-Pipeline-1024×819.jpeg 1024w, https://www.esecurityplanet.com/wp-content/uploads/2021/05/Colonial-Pipeline-300×240.jpeg 300w, https://www.esecurityplanet.com/wp-content/uploads/2021/05/Colonial-Pipeline-768×614.jpeg 768w, https://www.esecurityplanet.com/wp-content/uploads/2021/05/Colonial-Pipeline-1536×1229.jpeg 1536w, https://www.esecurityplanet.com/wp-content/uploads/2021/05/Colonial-Pipeline-2048×1638.jpeg 2048w, https://www.esecurityplanet.com/wp-content/uploads/2021/05/Colonial-Pipeline-150×120.jpeg 150w, https://www.esecurityplanet.com/wp-content/uploads/2021/05/Colonial-Pipeline-696×557.jpeg 696w, https://www.esecurityplanet.com/wp-content/uploads/2021/05/Colonial-Pipeline-1068×854.jpeg 1068w, https://www.esecurityplanet.com/wp-content/uploads/2021/05/Colonial-Pipeline-1920×1536.jpeg 1920w” sizes=”(max-width: 696px) 100vw, 696px”/>

    منبع: Colonial Pipeline

    دفاع در برابر DarkSide

    از اوت سال 2020 ، گروه بدافزار سازمان یافته معروف به DarkSide قبلاً نام خود را ایجاد کرده است ، در نه ماه گذشته بیش از 40 قربانی گرفته است. دو شرکت امنیت سایبری که تجزیه و تحلیل عمیقی از گروه تازه شروع شده Ransomware as a Service (RaaS) ارائه می دهند ، Cybereason و Varonis هستند.

    آنچه که آنها توصیف می کنند همان تاکتیک ها ، تکنیک ها و شیوه های (TTP) است که به همه تبدیل شده است. با APT ها بیش از حد آشنا هستند. خانواده های هکر مخرب شناسایی دقیق را انجام می دهند تا یک استراتژی نقض و حمله را شناسایی کنند که بدون شناسایی خواهد ماند. TTP های توصیف شده عبارتند از:

    • اجتناب از بخشهای شبکه ای که EDR در آنها اجرا می شود مجوزها و انتشار بدافزار از طریق اشتراک فایل
    • حذف نسخه پشتیبان تهیه ، از جمله نسخه های سایه دار

    در حالی که باج افزار همچنان به سرعت دفاع افزایش می یابد ، با این وجود اقدامات دفاعی که همه سازمان ها باید انجام دهند وجود دارد ، همانطور که در حفاظت از باج افزار در سال 2021 عنوان کردیم. این اقدامات عبارتند از:

    • آموزش کارکنان برای شناسایی بدافزار و از بین بردن آسیب پذیری های رایج کاربر
    • بهینه سازی مدیریت نرم افزار با ردیابی ، امتیازات و وصله مناسب
    • مسدود کردن نامه های ناخواسته ایمیل ، فایلهای اجرایی و پرونده های مخرب JS
    • ثبت نام از فناوری های مانند CASB ، IDPs ، SIEM و EDR برای سیستم های امنیتی پیشرفته
    • حرکت به سمت یک شبکه و برنامه اعتماد صفر چارچوب عملیاتی که در آن جداسازی برنامه ها و بخشهای شبکه قوی ترین امنیت داخلی را برای محافظت از مهمترین ها فراهم می کند
    • همیشه پشتیبان های مناسب را به صورت آفلاین برای محافظت کافی و ترمیم سریع ذخیره کنید

    همچنین بخوانید: محافظت در برابر TTP های Solorigate: SolarWinds Hack Defences

    کد اخلاقی DarkSide که در گوشه ای از وب تاریک نشسته است ، خواستار حمله فقط علیه شرکت هایی است که توانایی پرداخت دیه خود را دارند و همچنین منع حمله به آموزش و پرورش ، بهداشت ، سازمان های غیرانتفاعی و نهادهای دولتی است. گفته شد ، هیچ شرطی برای سرویس دهی وجود ندارد و مسئولیت کمی برای هکرهایی که قصد دارند هیچ نهادی را هدف قرار دهند وجود ندارد.

    در بیانیه ای که امروز منتشر شد ، DarkSide اظهار داشت:

    "ما غیرسیاسی هستیم ، در ژئوپلیتیک شرکت نمی کنیم ، نیازی به ما را با یک دولت تعریف شده گره بزند و به دنبال انگیزه های دیگر [our] باشد … هدف ما کسب درآمد است و ایجاد مشکلی برای جامعه نیست. "

    DarkSide همچنین از روشی باج گیری مضاعف استفاده می کند که گزینه های سازمان های قربانی باید پرداخت کنند. برای بازیابی اطلاعات یا پرداخت نکردن و هکرها داده ها را منتشر می کنند. برای شرکت های دولتی و خصوصی ، داده های منتشر شده می توانند اطلاعات انحصاری بسیار ارزشمندی باشند.

    همچنین بخوانید: انواع بدافزار | بهترین شیوه های حفاظت از بدافزار برای سال 2021

    زیرساخت های حیاتی نیاز به حفاظت پیشرفته دارد

    از شبکه های الکتریکی گرفته تا گیاهان آب ، زیرساخت های مهم آخرین هدف تهدیدات مداوم پیشرفته و باج افزار است. از حمله NotPetya به بخش انرژی اوکراین در سال 2017 گرفته تا حمله به تأسیسات تصفیه آب تامپا در سال گذشته ، زیرساخت های دولتی و خصوصی مهمترین مهمترین اقتصاد بین الملل هستند.

    دانشگاه تمپل سابقه حملات باج افزار مهم در زیرساخت ها (CIRW) را تهیه کرده است. ) مربوط به نوامبر 2013. جزئیات یادداشت شامل:

    • Maze ، Ryuk ، REvil و WannaCry 64٪ از رایج ترین گونه ها را تشکیل می دهند.
    • بیش از نیمی از حملات باج افزار تسهیلات دولتی (24.4٪) ، مراقبت های بهداشتی را هدف قرار می دهند و بهداشت عمومی (15.9٪) و امکانات آموزشی (13.7٪).
    • در حالی که تعداد حملات بین 70-80 بین 2016 و 2018 بود ، حملات به 205 در 2019 و 396 در سال 2020 افزایش یافت.
    • تقریبا 42 ٪ حملات بیش از یک هفته طول کشید و 13٪ بیش از یک ماه به طول انجامید.

    همچنین بخوانید: راه حل های ضد ویروس در برابر Ransomware محافظت نمی کنند

    مبارزه با باج افزار همچنان ادامه دارد

    کول حمله خط لوله استعماری d به منظور ایجاد جذابیت بیشتر حملات زیرساختی برای مجرمان اینترنتی است. باندهای بدافزار سازمان یافته از استراتژی های دفاعی مدرن آگاهی دارند و بیمار کافی را برای جمع آوری اطلاعات و حمله در زمان مناسب دارند.

    ساخت ارگ سایبری از طریق اینترنت امکان پذیر نیست ، بنابراین انجام اقدامات لازم بر عهده سازمان های دولتی و خصوصی است. برای محافظت از دارایی های آنها تحلیلگران صنعت و شرکت ها به طور یکسان به ایجاد چارچوب هایی مانند اعتماد صفر و تقسیم خرد برای لایه های اضافی امنیت در شبکه سازمان اشاره می کنند.

    همچنین بخوانید: نحوه پیاده سازی Zero Trust



    خرید وی پی ان

    وی پی ان

    فیلتر شکن