Ransomware همانطور که گروهها از مدلهای سرویس پذیر استقبال می کنند ، تکامل می یابد

در نگاه اول ، گزارش این هفته از فروشنده نرم افزار امنیت سایبری McAfee نشان می دهد که میزان بروز باج افزار در نیمه اول به نصف کاهش یافته است ، به نظر می رسد برای جهانی که پیامدهای این بدافزار به ظاهر فراگیر را احساس می کند ، خبر خوبی است. [19659002] با این حال ، کاهش 50 درصدی باج افزار طی سه ماه اول سال 2021 ارتباط چندانی با یافتن حالت های دیگر سرقت اطلاعات توسط مجرمان اینترنتی ندارد و بیشتر به دلیل تکامل به دور از حملات گسترده باج افزار چند هدفه است که با بازده کمی به باج افزار همراه است – بعنوان یک سرویس (RaaS) کمپین هایی که سازمان های کمتر اما بزرگتری را با باج افزارهای سفارشی تر هدف قرار می دهند ، که به نوبه خود نتایج سودآورتری را به ارمغان می آورند.

محققان مک آفی تغییر در استراتژی باج افزار را این هفته در گزارش تهدیدات مک آفی: ژوئن 2021 عنوان کردند. در این گزارش ، محققان همچنین در مورد چگونگی تکثیر برنامه های 64 بیتی CoinMiner به رشد 117 درصدی ارزهای رمزنگاری شده صحبت کردند. بدافزار استخراج سکه و همچنین افزایش انواع جدید بدافزار مبتنی بر Mirai که به رشد 55 درصدی بدافزار با هدف قرار دادن دستگاه های اینترنت اشیا (IoT) و افزایش 38 درصدی حملات به سیستم های لینوکس کمک می کند.

Ransomware Focus

اما همانطور که در دنیای امنیت سایبری بسیار زیاد است ، در این گزارش تمرکز بر باج افزار نیز وجود داشت. به گفته راج سامانی ، همكار مک آفی و دانشمند ارشد ، مجرمان اینترنتی به طور مداوم در حال تکامل تکنیک های خود هستند تا بالاترین بازده پولی را با کمترین میزان خطر کسب کنند. انتقال باج افزار از تلاش برای بدست آوردن هزینه های ناچیز از میلیون ها هدف فردی به کمپین های RaaS پشتیبانی می کند که از بسیاری از بازیگران بد در حملات به سازمان های کمتر اما بزرگتر و اخاذی آنها برای پول بیشتر پشتیبانی می کند.

در حالی که 2021 برای این امر مورد توجه بوده است. سامانی در یک مصاحبه از طریق پست الکترونیکی به eSecurity Planet گفت: حملات باج افزارهای سرعین مانند حمله به Colonial Pipeline ، روند دستیابی به اهداف بزرگتر در حال انجام بوده است.

"این چند سال قدمت دارد ، " او گفت. "ما از سال 2018 دیدیم که Ryuk هدف قرار دادن سازمان ها را شروع کرد ، اما قبل از این GandCrab و SamSam بود. این واقعاً GandCrab بود که از مدل RaaS استقبال کرد. به همین ترتیب ، در حدود 2019/2020 ، ما شاهد معرفی سایت های نشت هستیم. درنهایت ، بسیاری از این گروه ها رویکردهای سایر گروه ها را که اثبات شده اند کپی می کنند. "

Leak Sites

سایت های نشت بخشی از تاکتیک نسبتاً جدید دیگر برای گروه های باج افزار است که می خواهند فشار بیشتری به سازمان ها برای پرداخت دیه بدهند. مجرمان اینترنتی معمولاً اطلاعات قربانی را در دست می گرفتند ، آن را رمزنگاری کرده و سپس با پرداخت این قول – که همیشه محقق نمی شود – وعده پرداخت می کنند که پس از پرداخت دیه ، برای رمزگشایی داده ها یک کلید برای قربانیان ارسال می کنند.

با این حال ، بازیگران بد اکنون تمایل دارند چرخش دیگری را در روش خود قرار دهند. آنها قبل از رمزنگاری داده های قربانیان خود را می دزدند و تهدید می کنند که اطلاعات سرقتی را در "سایت های نشتی" منتشر می کنند و سپس به رسانه ها در مورد حمله هشدار می دهند. نام ده ها گروهی که تهدید به نشت اطلاعات می کنند شامل MAZE ، AKO ، REvil ، DarkSide ، Ranzy Locker و Ragnarok است.

به خصوص DarkSide این روزها از شهرت بالایی برخوردار است. بیشتر محققان می گویند این گروه مستقر در روسیه عامل حمله باج افزار به Colonial Pipeline ، شرکتی است که بیشتر توزیع گاز در جنوب شرقی ایالات متحده را بر عهده دارد. این شرکت مجبور شد برخی از فعالیت های خود را تعطیل کند ، که منجر به کمبود و طولانی شدن صف در ایستگاه های سوخت در سراسر منطقه شد. استعمار سرانجام تقریباً 5 میلیون دلار (75 بیت کوین) برای حمله به رمزگشایی بابت رمز رمزگشایی پرداخت ، که رمزگشایی آن چنان کند انجام شد که شرکت مجبور شد برای بازیابی سرویس خود به پشتیبان های خود اعتماد کند.

طبق گزارش ها ، این گروه همچنین حدود 100 گیگابایت داده از سرورهای استعمار قبل از شروع حمله بدافزار به سرقت رفته است.

Ransomware موضوع گفتگوهای سطح بالا

در گزارش خود ، محققان مک آفی خاطر نشان کردند که باج افزار به طور کلی – و به طور خاص DarkSide – منجر به یک موضوع دستور جلسه در گفتگوهای بین رئیس جمهور ایالات متحده و بایدن و رئیس جمهور روسیه در حالی که ما قصد تفصیلی در مورد فضای سیاسی نداریم ، اما قطعاً باید تصدیق کنیم که این تهدیدی است که خدمات حیاتی ما را مختل می کند. علاوه بر این ، دشمنان در فضایی پشتیبانی می شوند که تحقیقات دیجیتالی را با موانع قانونی به چالش می کشد که جمع آوری شواهد دیجیتالی را تقریباً از برخی مناطق خاص غیرممکن می سازد. "

محققان McAfee همچنین نوشتند كه در حالی كه حمله Colonial Pipeline عناوین بسیاری از روزنامه ها را به خود اختصاص داده بود ، گروه های باج افزار Babuk ، Conti ، Ryuk و REvil قبل از مبارزات DarkSide با طرح های RaaS كه سازمان های بزرگتری را هدف قرار می داد ، حمله كردند ، بیشتر آنها مورد حمله قرار گرفتند انواع ایجاد شده از یک خانواده باج افزار. طبق گزارش McAfee ، REVil – که به گفته اجرای قانون فدرال عامل حمله اخیر به JBS Foods است – بیشترین گروه باج افزار در سه ماهه اول است.

شبکه های وابسته RaaS به بازیگران بد امکان می دهد تا خطر سازمان های بزرگ را کاهش دهند فن آوری های حفاظت سایبری شناسایی آنها ، که به نوبه خود باعث بهبود حملات و پرداخت دیه می شود. کمپین هایی که از یک نوع باج افزار برای هدف قرار دادن بسیاری از قربانیان استفاده می کنند ، "پر سر و صدا" هستند و همین امر منجر به شناسایی و مسدود کردن سیستم در نهایت می شود.

تغییر به RaaS

این تغییر مداوم به RaaS نیز در کاهش انواع برجسته باج افزارها ، از 19 ژانویه تا 9 ماه مارس.

چنین تلاش های RaaS نشان می دهد که محققان امنیت سایبری و به طور کلی دنیای فناوری اطلاعات باید بیش از میزان حجم ، به تأثیر حملات باج افزار نگاه کنند ، McAfee's Samani وی گفت.

سامانی گفت: "در حالی كه ممكن است حجم خانواده های باج افزار در همان شیوع قبلی نباشد ، اما گروه هایی كه هنوز در كار هستند همچنان رویكردهای نوآورانه تری را برای مصالحه و اخاذی از پرداخت های بالاتر پیدا می كنند."

Feds Step Up Response

دولت فدرال به طور فزاینده ای درگیر عقب راندن جرایم اینترنتی ، به ویژه باج افزار است. وزارت امنیت داخلی (DHS) برای چند سال از ترس قربانیان باج افزار خواسته است تا دیه ها را پرداخت نکنند ، زیرا بیم این پول کمک می کند حملات بیشتر شود. علاوه بر این ، شورای امنیت ملی در اوایل این ماه یادداشتی را برای شرکت های آمریکایی ارسال کرد و از آنها خواست که تهدید را جدی بگیرند و مواردی را که می توانند برای محافظت از خود بردارند مشخص کند.

علاوه بر این ، آژانس امنیت سایبری و زیرساخت ایالات متحده (CISA) و FBI هشدار با راهنمایی بر اساس چارچوب MITER [email protected] برای حمایت از حیاتی و دولت بایدن یک دستورالعمل برای بررسی و بهبود آمادگی و واکنش به امنیت سایبری دولت فدرال صادر کرد. DHS شرایط لازم برای امنیت سایبری را برای دارندگان و مجریان مهم خط لوله صادر کرد.

Ransomware هیچ جایی نمی رود

ریتا گورویچ ، بنیانگذار و مدیرعامل شرکت امنیت سایبری Sphere ، با بیان تغییر دیگری در استراتژی ، اظهار داشت: 19659002] "چند سال پیش ، باج افزار عمدتا بر هدف قرار دادن مصرف کنندگان متمرکز بود ، اما اخیراً ما شاهد تغییر صحنه به سمت شرکت های پردرآمد هستیم" ، گورویچ در واکنش به اخبار حملات جدید Revil به حمله به eSecurity Planet شرکت پوشاک شرکت ارتباطات فرانسوی و تشخیص پزشکی Grupo Fluery. "این حملات پیچیده تر شده است ، و از استراتژی فیشینگ شناخته شده با استفاده از روش ایمیل انبوه به استراتژی فیشینگ نیزه ، که بسیار هدفمند است ، کشف می شود و موفقیت آنها بسیار بالاتر است. سهولت انجام باج افزار نیز مسئله ای است زیرا نرم افزار باج افزار می تواند به راحتی از طریق darknet خریداری شود. "

وی همچنین خاطر نشان كرد كه" اقدامات اخیر دولت فدرال و ابتكارهای شركت باعث تغییر روایت از پاسخ به جلوگیری از حملات باج افزار. تمرکز متخصصان فناوری اطلاعات و امنیت اکنون بر روی اطمینان از وجود نسخه پشتیبان ، افزایش آموزش برای کاربران و [leveraging] یک مدل حاکمیت دسترسی موثر است. متخصصان فناوری اطلاعات و امنیت همچنین باید با محیط جدید خود سازگار شوند ، جایی که مهارت هایی که چند سال پیش با موفقیت به کار گرفته اند ممکن است در برابر حملات پیچیده باج افزار امروز کافی نباشد. "

در حالی که افزایش RaaS عامل اصلی کاهش این میزان است. به گفته سامانی ، نمونه های باج افزار به طور کلی در سه ماهه اول تنها یک مورد نیست.

وی گفت: "ما تقریباً هر سال پس از کریسمس و تعطیلات شاهد این روند در جرایم اینترنتی هستیم." "یک افت سرعت پس از تعطیلات وجود دارد ، سپس سه ماهه اول یک رمپ افزایش می یابد ، سپس در تابستان فرو می رود زیرا مجرمان اینترنتی نیز به تعطیلات احتیاج دارند. سپس دوباره شاهد افزایش سطح شیب دار در اواخر سال هستیم ، شاید چون مجرمان برای خرید هدایای کریسمس به پول احتیاج دارند. "

TTP های برتر Ransomware و اقدامات دفاعی برای برداشتن

فروشنده شبیه سازی دشمن Scythe این هفته گزارشی در مورد تاکتیک ها ، روش ها و روش های برتر باج افزار (TTP). در زیر جدولی از MTP ATT & CK TTP وجود دارد که به دنبال آن مراحل حفاظت توصیه شده توسط Scythe دنبال می شود.

10 TTP برتر باج افزار یا رفتارهایی که باج افزارهای Conti ، DarkSide ، Egregor ، Ryuk و Maze از آنها استفاده می کنند

دسترسی اولیه T1078 – حساب های معتبر
اجرا T1059.001 – PowerShell
و کنترل T1071 – پروتکل لایه کاربرد و T1573 – کانال رمزگذاری شده (HTTPS)
Discovery T1082 – کشف اطلاعات سیستم

T1057 – فرآیند کشف

افزایش امتیاز T1053.005 – برنامه ریزی وظیفه / شغل: وظیفه برنامه ریزی شده
مجموعه T1074.001 – داده ها مرحله بندی شده: محلی سازی داده های محلی

T1560 – بایگانی داده های جمع آوری شده

Exfiltration T1041 – Exfiltration over C2 Channel (HTTPS)
Impact T1486 – Data Encrypted for Impact

recommendationsScyware 2 احراز هویت چند عاملی را در همه حسابهای کاربری فعال کنید (ابتدا اینترنت و سپس داخلی) ، به ویژه در هرجایی که به دسترسی معتبر نیاز دارید زیرا حسابهای معتبر روش اصلی دسترسی اولیه است.
  • شناسایی و هشدار در مورد اجرای PowerShell ، که بهترین روش اجرای است کشف شده توسط باج افزار. به دلیل راهکارهایی که از PowerShell استفاده می کنند ، برای کاهش میزان وقایع لازم است تنظیم شود.
  • اجرای پراکسی برای ترافیک خروجی اینترنت ، زیرا HTTPS بهترین روش کنترل و کنترل است.
  • شناسایی و هشدار در سیستم هایی که به طور مداوم فراخوانی می کنند به یک دامنه خاص ، زیرا این رفتار کنترل و کنترل ترافیک است.
  • میزان ترافیکی را که به خارج از کشور خارج می شود کنترل کنید تا میزان انفجار را تشخیص دهید.
  • هنگام ایجاد کارهای برنامه ریزی شده جدید ، شناسایی و هشدار دهید.
  • ایجاد پشتیبان و آزمایش بازیابی از منابع آفلاین.
  • Pipeline Ransomware Attack آسیب پذیری های حیاتی را نشان می دهد

    در بزرگترین حمله سایبری تاکنون به زیرساختهای مهم در ایالات متحده ، خط لوله استعماری – که 5 هزار و 500 مایل از هوستون به شهر نیویورک می رسید – خطوط اصلی خود را در روز جمعه 7 مه متوقف کرد ، زمانی که مدیران باج افزار پیشرفته را از داخل کشف کردند.

    روز پنجشنبه ، یک روز قبل از حمله باج افزار ، گروه جنایی سایبری DarkSide مستقر در روسیه بیش از 100 گیگابایت داده را سرقت کرد ، به DarkSide اهرم قدرت بیشتری برای استخراج دیه از Colonial Pipeline اضافه کرد ، که برخی از آنها تصور می کردند در پایان می تواند باج بدهد تا از یک فاجعه طولانی و بالقوه جلوگیری کند. خاموش کردن روز دوشنبه ، 10 مه ، استعمار اعلام كرد كه "هدف خود را برای بازگرداندن خدمات عملیاتی تا پایان هفته" تعیین كرده است ، این بدان معناست كه ایالات متحده شرقی احتمالاً روزها با عدم اطمینان در مورد تأمین انرژی خود روبرو خواهد شد.

    این حمله باید به عنوان یک زنگ خطر برای سازمانهایی در زیرساختهای حیاتی که قادر به انجام اقدامات حفاظتی باج افزار نیستند و دفاعی امنیتی پیشرفته سایبری را که سطح حمله بالقوه را محدود می کند ، مانند ریز تقسیم بندی و اعتماد صفر ، برای جداسازی بهتر داده های مهم و فناوری عملیاتی (OT) ، به کار گرفته شده است.

    همچنین بخوانید: ریز تقسیم بندی: تکامل بعدی در امنیت سایبری

    حدس و گمان راه حمله استعماری

    استعمار ، دفتر مرکزی آن در آلفارتا ، جورجیا ، بزرگترین تأمین کننده انرژی تصفیه شده در ایالات متحده است. خط لوله استعماری 45 درصد از بنزین ، گازوئیل ، سوخت جت و سوخت گرمایشی ساحل شرقی ایالات متحده را تأمین می کند. استعمار با تحریک برجسته در جورجیا ، کارولینای جنوبی ، کارولینای شمالی ، تنسی و ویرجینیا ، 70٪ سوخت مایع این ایالت های جنوب شرقی را تأمین می کند. خطوط اصلی و استعمار کل روزانه 3.4 میلیون بشکه نفت و گاز طبیعی را در ایالات متحده حمل می کنند ، یا تقریبا 150 میلیون گالن – مبلغی که صنعت حمل و نقل ، راه آهن و کشتی نمی تواند با وجود کاهش محدودیت دستورات اضطراری مطابقت داشته باشد ، بنابراین استعمار را تحت فشار قرار می دهد برای حل بحران قبل از اینکه ساحل شرقی را فلج کند.

    کلونیال پس از شناسایی حمله باج افزار در روز جمعه ، اظهار داشت که "برخی از سیستم ها را به صورت آفلاین برای جلوگیری از تهدید انجام می دهند ، که به طور موقت تمام عملیات خط لوله را متوقف کرده و برخی از IT ما را تحت تأثیر قرار داده است. سیستم های." همانطور که تأمین کننده انرژی تلاش می کند تخلف را برطرف کند ، شرکت FireEye Mandiant را امضا کرده است تا تحقیقات را انجام دهد ، زیرا FireEye پس از فاش شدن نفوذ Sunburst در SolarWinds در دسامبر همچنان برای خود نامی به وجود آورد.

    شرکت های امنیتی سایبری و افراد داخلی گمانه زنی کردند

    فروشنده امنیت سایبری انگلستان Digital Shadows به پراکسی گفت که با دسترسی مهندسان بیشتر از راه دور به سیستم های کنترل ، تعجب آور نخواهد بود اگر دسترسی از راه دور با سازماندهی آزاد ، آسیب پذیری اصلی باشد.

    در صبح روز دوشنبه توییت ، مدیر سابق CISA ، کریس کربس در توییت خود نوشت:

    زمان تا استراحت oration

    اگر مهاجمان فقط به سیستم های رایانه ای تجاری محدود بودند ، مدیر عامل دراگوس ، راب لی به پولیتیکو گفت ، "من فکر می کنم این کار کوتاه مدت خواهد بود."

    پاسخ سریع اکثر سازمان ها برای خاموش کردن سیستم های مهم ماموریت در یک تلاش برای جلوگیری از گسترش ذاتاً منجر به برخی از زمان خرابی می شود. فقط وخیم تر کردن وضعیت اقتصادی ، تامین سوخت برای دو خط اصلی حمل سوخت از پسادنا ، تگزاس به گرینزبورو ، کارولینای شمالی ، در ماه های اخیر به دلیل کاهش تقاضا برای انرژی در طی همه گیر شدن ، کاهش یافته بود.

    بنیانگذار CrowdStrike و دیمیتری آلپروویچ ، CTO سابق روز یکشنبه از طریق توییتر اظهار داشت:

    استعمار در موقعیتی است که شروع مجدد طولانی مدت می تواند برای سازمان و اقتصاد ایالات متحده ویرانگر باشد. تحلیلگر بازار نفت ، گوراو شارما به پراکسی گفت ، "مگر اینکه آنها این مشکل را تا روز سه شنبه مرتب کنند ، آنها در دردسر بزرگی به سر می برند … اولین مناطقی که آسیب می بینند می توانند آتلانتا و تنسی باشند. پس از آن اثر دومینو به نیویورک افزایش می یابد. "

    پاسخ صنعت فدرال و صنعت امنیت

    همانطور که رئیس جمهور بایدن در اواخر آوریل خطاب به ملت گفت ، eSecurity Planet در مورد احتمال حضور بیشتر دولت در ایجاد زیرساخت های امنیت سایبری قوی تر برای نهادهای دولتی و خصوصی. در سخنرانی مشترک وی ، استراتژی سایبری بایدن متمرکز بر مهار تهدیدهای مداوم پیشرفته (APT) از روسیه است ، اما تهدیدهای سایبری پیشرفته همچنان استانداردهای انتساب را برای مقصر دانستن بین کشورها پایین می آورند ، و روسیه نشانه چندانی از پاسخگویی این بازیگران در کشور نشان نمی دهد

    قبل از حمله استعمار ، وزارت انرژی و CISA ابتکاری را برای کار با عملیات سیستم کنترل صنعتی برای بهبود شناسایی امنیت سایبری آغاز کردند و در فوریه ، CISA کتابخانه منابع امنیت سایبری خط لوله را منتشر کرد.

    همچنین بخوانید : بیش از 75 درصد Ransomware از سخنرانان روسی حاصل می شود

    تعداد معدودی از آژانس های فدرال اکنون در حال بررسی این حمله هستند ، با CISA و FBI اظهار داشتند که احتمالاً یک کشور-ملت نیست بلکه گروهی به نام DarkSide نامیده می شود اقامت در روسیه دیمیتری آلپروویچ ، بنیانگذار Crowdstrike ، "با توجه به سیاست آشکار روسیه در پناه دادن و تحمل جرایم اینترنتی ، بی اهمیت است که آیا آنها برای دولت کار می کنند یا نه ، بی اهمیت است."

    در چند روز پس از انتشار اخبار ، بسیاری از مقامات برجسته کاپیتول هیل موارد خود را به اشتراک گذاشته اند

    هنگامی که کنگره در مورد قانون گسترده زیرساخت ها بحث می کند ، حمله خط لوله استعماری این واقعیت را تأکید می کند که امنیت سایبری خود زیرساخت حیاتی است و بنابراین احتمالاً تمرکز فدرال افزایش می یابد. [19659002] با افزایش حملات باج افزار به زیرساخت های مهم بین سالهای 2018 تا 2020 566٪ ، امنیت این منابع از قبل مورد توجه قرار گرفته بود. ماه گذشته ، گروه ویژه بخش خصوصی باج افزار (RTF) کارزاری را برای کاهش حملات باج افزار جهانی آغاز کرد. چارچوب جامع اقدام آنها 48 توصیه برای شناسایی و ایجاد اختلال در باج افزار ارائه می دهد. در جنوب شرقی ایالات متحده که خط لوله استعماری از تگزاس به نیوجرسی را نشان می دهد. ” width=”696″ height=”557″ srcset=”https://www.esecurityplanet.com/wp-content/uploads/2021/05/Colonial-Pipeline-1024×819.jpeg 1024w, https://www.esecurityplanet.com/wp-content/uploads/2021/05/Colonial-Pipeline-300×240.jpeg 300w, https://www.esecurityplanet.com/wp-content/uploads/2021/05/Colonial-Pipeline-768×614.jpeg 768w, https://www.esecurityplanet.com/wp-content/uploads/2021/05/Colonial-Pipeline-1536×1229.jpeg 1536w, https://www.esecurityplanet.com/wp-content/uploads/2021/05/Colonial-Pipeline-2048×1638.jpeg 2048w, https://www.esecurityplanet.com/wp-content/uploads/2021/05/Colonial-Pipeline-150×120.jpeg 150w, https://www.esecurityplanet.com/wp-content/uploads/2021/05/Colonial-Pipeline-696×557.jpeg 696w, https://www.esecurityplanet.com/wp-content/uploads/2021/05/Colonial-Pipeline-1068×854.jpeg 1068w, https://www.esecurityplanet.com/wp-content/uploads/2021/05/Colonial-Pipeline-1920×1536.jpeg 1920w” sizes=”(max-width: 696px) 100vw, 696px”/>

    منبع: Colonial Pipeline

    دفاع در برابر DarkSide

    از اوت سال 2020 ، گروه بدافزار سازمان یافته معروف به DarkSide قبلاً نام خود را ایجاد کرده است ، در نه ماه گذشته بیش از 40 قربانی گرفته است. دو شرکت امنیت سایبری که تجزیه و تحلیل عمیقی از گروه تازه شروع شده Ransomware as a Service (RaaS) ارائه می دهند ، Cybereason و Varonis هستند.

    آنچه که آنها توصیف می کنند همان تاکتیک ها ، تکنیک ها و شیوه های (TTP) است که به همه تبدیل شده است. با APT ها بیش از حد آشنا هستند. خانواده های هکر مخرب شناسایی دقیق را انجام می دهند تا یک استراتژی نقض و حمله را شناسایی کنند که بدون شناسایی خواهد ماند. TTP های توصیف شده عبارتند از:

    • اجتناب از بخشهای شبکه ای که EDR در آنها اجرا می شود مجوزها و انتشار بدافزار از طریق اشتراک فایل
    • حذف نسخه پشتیبان تهیه ، از جمله نسخه های سایه دار

    در حالی که باج افزار همچنان به سرعت دفاع افزایش می یابد ، با این وجود اقدامات دفاعی که همه سازمان ها باید انجام دهند وجود دارد ، همانطور که در حفاظت از باج افزار در سال 2021 عنوان کردیم. این اقدامات عبارتند از:

    • آموزش کارکنان برای شناسایی بدافزار و از بین بردن آسیب پذیری های رایج کاربر
    • بهینه سازی مدیریت نرم افزار با ردیابی ، امتیازات و وصله مناسب
    • مسدود کردن نامه های ناخواسته ایمیل ، فایلهای اجرایی و پرونده های مخرب JS
    • ثبت نام از فناوری های مانند CASB ، IDPs ، SIEM و EDR برای سیستم های امنیتی پیشرفته
    • حرکت به سمت یک شبکه و برنامه اعتماد صفر چارچوب عملیاتی که در آن جداسازی برنامه ها و بخشهای شبکه قوی ترین امنیت داخلی را برای محافظت از مهمترین ها فراهم می کند
    • همیشه پشتیبان های مناسب را به صورت آفلاین برای محافظت کافی و ترمیم سریع ذخیره کنید

    همچنین بخوانید: محافظت در برابر TTP های Solorigate: SolarWinds Hack Defences

    کد اخلاقی DarkSide که در گوشه ای از وب تاریک نشسته است ، خواستار حمله فقط علیه شرکت هایی است که توانایی پرداخت دیه خود را دارند و همچنین منع حمله به آموزش و پرورش ، بهداشت ، سازمان های غیرانتفاعی و نهادهای دولتی است. گفته شد ، هیچ شرطی برای سرویس دهی وجود ندارد و مسئولیت کمی برای هکرهایی که قصد دارند هیچ نهادی را هدف قرار دهند وجود ندارد.

    در بیانیه ای که امروز منتشر شد ، DarkSide اظهار داشت:

    "ما غیرسیاسی هستیم ، در ژئوپلیتیک شرکت نمی کنیم ، نیازی به ما را با یک دولت تعریف شده گره بزند و به دنبال انگیزه های دیگر [our] باشد … هدف ما کسب درآمد است و ایجاد مشکلی برای جامعه نیست. "

    DarkSide همچنین از روشی باج گیری مضاعف استفاده می کند که گزینه های سازمان های قربانی باید پرداخت کنند. برای بازیابی اطلاعات یا پرداخت نکردن و هکرها داده ها را منتشر می کنند. برای شرکت های دولتی و خصوصی ، داده های منتشر شده می توانند اطلاعات انحصاری بسیار ارزشمندی باشند.

    همچنین بخوانید: انواع بدافزار | بهترین شیوه های حفاظت از بدافزار برای سال 2021

    زیرساخت های حیاتی نیاز به حفاظت پیشرفته دارد

    از شبکه های الکتریکی گرفته تا گیاهان آب ، زیرساخت های مهم آخرین هدف تهدیدات مداوم پیشرفته و باج افزار است. از حمله NotPetya به بخش انرژی اوکراین در سال 2017 گرفته تا حمله به تأسیسات تصفیه آب تامپا در سال گذشته ، زیرساخت های دولتی و خصوصی مهمترین مهمترین اقتصاد بین الملل هستند.

    دانشگاه تمپل سابقه حملات باج افزار مهم در زیرساخت ها (CIRW) را تهیه کرده است. ) مربوط به نوامبر 2013. جزئیات یادداشت شامل:

    • Maze ، Ryuk ، REvil و WannaCry 64٪ از رایج ترین گونه ها را تشکیل می دهند.
    • بیش از نیمی از حملات باج افزار تسهیلات دولتی (24.4٪) ، مراقبت های بهداشتی را هدف قرار می دهند و بهداشت عمومی (15.9٪) و امکانات آموزشی (13.7٪).
    • در حالی که تعداد حملات بین 70-80 بین 2016 و 2018 بود ، حملات به 205 در 2019 و 396 در سال 2020 افزایش یافت.
    • تقریبا 42 ٪ حملات بیش از یک هفته طول کشید و 13٪ بیش از یک ماه به طول انجامید.

    همچنین بخوانید: راه حل های ضد ویروس در برابر Ransomware محافظت نمی کنند

    مبارزه با باج افزار همچنان ادامه دارد

    کول حمله خط لوله استعماری d به منظور ایجاد جذابیت بیشتر حملات زیرساختی برای مجرمان اینترنتی است. باندهای بدافزار سازمان یافته از استراتژی های دفاعی مدرن آگاهی دارند و بیمار کافی را برای جمع آوری اطلاعات و حمله در زمان مناسب دارند.

    ساخت ارگ سایبری از طریق اینترنت امکان پذیر نیست ، بنابراین انجام اقدامات لازم بر عهده سازمان های دولتی و خصوصی است. برای محافظت از دارایی های آنها تحلیلگران صنعت و شرکت ها به طور یکسان به ایجاد چارچوب هایی مانند اعتماد صفر و تقسیم خرد برای لایه های اضافی امنیت در شبکه سازمان اشاره می کنند.

    همچنین بخوانید: نحوه پیاده سازی Zero Trust



    موثر آن آگاهی آموزش امنیت برای کارمندان


    دانلود ما گزارش عمق: راهنمای نهایی برای شرکت های امنیت فناوری اطلاعات فروشندگان

    صرف نزدیک 100 تریلیون دلار سال در امنیت سایبری و با وجود آن را پیچیده امنیتی دفاع یک لین ضعیف k کارکنان باقی می ماند آسیب پذیری عمده.

    بسیاری از حملات توسط فایروال ها و نقطه پایانی امنیت محصولات و راه حل های حفاظت پیشرفته تهدید متوقف اما نوعی scammers نگه گرفتن گذشته این و دیگر دفاع. به عنوان خسته کننده، به عنوان آن را گران درجه سازمانی امنیت راه حل های کاملا محافظت از داده های شرکت و کارگران شکست، تکنولوژی کاملا مقصر نیست. بررسی 2017 از فن آوری امنیتی اطلاعاتی نشان داد که تقریبا یک سوم (30 درصد) از کارکنان چه فیشینگ است نمی دانم. به مسائل بدتر، ransomware مفهوم ناشناخته به تقریبا دو سوم کارگران است.

    چه کسی برای این دولت متاسفم امور است؟ کارفرمایان هستند، تا حدی.

    چند سال پیش، همکاران مدیریت سازمانی (EMA) انجام یک نظرسنجی که یافت که بیش از نیم (56 درصد) از کارکنان آن کارمندان و متخصصان امنیت شمارش نیست آموزش آگاهی امنیت را دریافت کرده بود. و زمانی که آنها دریافت آموزش، هیچ تضمینی وجود ندارد که آن را نگه دارید وجود دارد. تنها حدود نیمی (48 درصد) گفت که سازمان آنها را اندازه گیری اثربخشی آموزش. https://o1.qnsr.com/log/p.gif?;

    . اول، هر چند، بیشتر در خطرات امروز چهره کارگر معمولی دفتر را حس که خود بزرگترین آسیب پذیری های دروغ است.

    امنیت بالا کارمند فیشینگ و ransomware

    نگرانی خود را به عنوان ابزار بهره وری صندوق ایمیل به هر دو برکت و لعنت ثابت شده است.

    در میان انواع حملات است که کارگران اغلب برای سقوط “فیشینگ فیشینگ نیزه یا whaling” شماره یک به گفته Dan Lohrmann ما که امنیت آگاهی آموزش دهنده امنیت مربی است.

    “به یاد داشته باشید که فیشینگ با کلیک کردن بر روی لینک در ایمیل، بلکه از طریق رسانه های اجتماعی و حتی تماس های تلفنی مردم رخ می دهد,” گفت: Lohrmann. همچنین، مردم هنوز هم پیوست از غریبه ها باز هستند، وی افزود. مهندسی اجتماعی شامل اصل باهم با استفاده از پست الکترونیک و یا تماس تلفنی برای دسترسی به سیستم محافظت شده و یا اطلاعات از طریق فریب در حال اجرا. در مورد نیزه فیشینگ یا whaling هر دو شرایط برای بیشتر هدف تلاش در scamming افراد پر ارزش مهم مقدار قابل توجهی از تلاش می توانید بروید به قربانیان را فریب دهد.

    لنس کجا Spitzner مدیر امنیت آگاهی در موسسه SANS هشدار داد که scammers مانند استفاده از مهندسی اجتماعی به قربانیان خود را توجه به پرش و گرفتن قلب مسابقه.

    “شایع ترین تاکتیک سایبر حمله استفاده ایجاد احساس ضرورت، تزریق و یا عجله مردم به اشتباه” که در آن گفت: Spitzner. “این تماس تلفنی وانمود که در آن مهاجم به IRS بیان خود مالیات عقب افتاده است و شما حق دور پرداخت خواستن يا تظاهر به رئیس خود شما ارسال یک ایمیل فوری فریب شما را به اشتباه می تواند باشد.”

    تحقیقات از Cofense خانه به برنامه شبیه سازی PhishMe نشان می دهد که کارگران تمایل به نگهبان خود را هنگامی که پول درگیر است.

    از نيمه اول سال 2018 شبیه سازی تهدید فعال این شرکت نشان داد که که ‘متصل فاکتورها درخواست پرداخت’، “تایید پرداخت” و “اشتراک نوشتار” باقی می ماند مشکل برای کاربران برای اجتناب از گفت: جان رابینسون “Lex”, ضد فیشینگ و اطلاعات امنیتی استراتژیست که Cofense. او گفت: “این مدل شامل تبادل پول موضوع عاطفی متهم است که elicits پاسخ قوی”.

    برخی از حمله بسیار برای سرقت اطلاعات ارزشمند اهمیتی نمی دهند. در عوض، آنها استفاده از نرم افزارهای مخرب است که فایل های قربانی را رمزگذاری می کند و آنها را نگه می دارد گروگان بدون همیشه انتقال داده ها. آنها باج برای کلید رمزنگاری است که بازیابی دسترسی به پرونده ها را از این رو ransomware مدت تقاضا.

    بیش از یک چهارم (26 درصد) از ransomware حملات کاربران کسب و کار ضربه در 2017، بر اساس گزارش از آزمايشگاه Kaspersky بین سه ماهه دوم سال ۲۰۱۶ دوم و چهارم از 2017 کوچک و پرداخت بیش از $300 میلیون به ransomware حمله midsized و کسب و کار, بنابر یک بررسی از داده ها پشتیبان گیری متخصص Datto.

    “Ransomware و فیشینگ کاربران رایج ترین حملات در حال سقوط، همچنان” مشاهده، راب کلاید، صندلی است ISACA و رئیس اجرایی امنیت ابر سفید. “علاوه بر این، اغلب آسان تر به حملات ransomware با استفاده از پول است که کانديداها.”

    شیوه های حفاظت داده های خوب، ویژه حفظ پشتیبان گیری منظم باعث می شود ransomware بیشتر زحمت از حادثه cripplingly گران امنیت سایبری اگرچه فناوری اطلاعات امنیت تیم ها و مدیران خواهد شد به احتمال زیاد دست خود را کامل مطابق با اصول بهداشتی سیستم های آسیب دیده.

    کارمند امنیت تاکتیک آگاهی است که کار

    مانند نبرد دشوار بنظر می رسد اما راه های کسب و کار می تواند کارکنان خود را در برابر این اسلحه وجود دارد و استفاده از سایر روش های غیر مستقیم حمله اومدی کسب و کار از اطلاعات حساس و یا پول نقد خود را.

    چه به نظر در هنگام ارزیابی امنیت آموزش آگاهی فروشنده و یا ایجاد برنامه های خود را در اینجا است.

    1. شروع در روز اول

    وقتی که می آید یک کارمند جدید پردازنده، آموزش امنیت به طور معمول برای پر کردن کاغذ بازی ساعت به محل کار و یک لپ تاپ صادر شدن قرار می گیرد صندلی. براندون Czajka، افسر ارشد اطلاعات مجازی است که معتقد است فن آوری Switchfast در کارکنان آماده برای تهدید امنیت سایبری آنها در طول هر روز کاری داده شده از لحظه ای که آنها قبول پیشنهاد کار روبرو می شوند.

    وجود دارد چند امنیت آموزش بردار کردن موجود در بازار است که می تواند به راحتی به یک سازمان جدید استخدام onboarding فرایند گنجانیده شده و یا استفاده به عنوان وسیله مکرر در مقابل تهدید این در ذهن نگه داشتن، “Czajka گفت:”، اشاره کرد که بسیاری است که در این زمینه مشابه هستند.

    2. سازمان دیده بان تهدید

    چشم انداز امنیت سایبری می تواند تغییر شدت در هیچ زمان و در همه حال ظهور که چرا مهم است به استفاده از امنیت آموزش آگاهی فروشنده و یا خدمات است که انگشت خود را بر روی نبض بازار نگه می دارد به طوری که کارکنان باد نیست blindsided توسط آخرین اومدی.

    “در نهایت، بهتر است برای انتخاب آموزش پلت فرم است که تعریف نه تنها نقض داده و چگونه پاسخ سازمان به آنها یادگیری از اشتباهات گذشته گذشته است-اما یکی که مواد آموزشی به نگه می دارد تا به امروز با نقض جدید را در زمان واقعی، گفت:”Czajka.

    3. عمل می کند کامل شبیه سازی ها

    استفاده می شود به تیز رفلکس هوایی خلبانان و پرسنل نظامی در شرایط چالش برانگیز و به آنها میآموزد که چگونه به پاسخ. آموزش امنیت اطلاعات مشابه می تواند کارکنان را به آخرین فریب و حملات، کمک به آنها برای محافظت در برابر رفتارهای مخاطره آمیز است که می تواند منجر به داده نقض قرار دهد.

    رابینسون Cofense را از حامیان رویکرد “با انجام یادگیری” شبیه به تهدیدات امنیتی بلوک است که کارگران ممکن است در طول کار خود روبرو می شوند.

    “این است بهترین انجام شده از طریق استفاده از شبیه سازی های تهدید فعال است که کاربر نهایی تجربه آنها را به یاد داشته باشید و عملیاتی جدید را ارائه; در مورد فیشینگ, اقدام جدید [the threat]، گزارش شده است “گفت: رابینسون. وی افزود: سازمان هایی که قادر به القای این طرز فکر از دست دادن توانایی “به آدرس و کاهش تهدید را در زمان واقعی”،.

    4. توضیح دهید که چرا آموزش

    با بازخورد فوری ارائه شده توسط شبیه سازی های امنیتی می تواند کمک به مفاهیم چوب است، اما شرکت در می رفتن بیشتر توسط آن که آموزش مهم است.

    “کاربر تعامل بیشتر از رانده شفافیت در درون سازمان،” رابینسون می گفت. “به این منظور، آگاهی و آموزشی به وضوح نمای کلی چرا امنیتی مهم است هر دو در کار و در خانه باید. به عبارت دیگر، آموزش کارکنان را.”

    5. رفع مشکل رمز عبور

    ضعیف مورد استفاده مجدد قرار است و به راحتی حدس کلمه عبور ادامه به نقطه ضعف بزرگ امنیتی. مطالعه 2017 از اف امن در بر داشت که 30 درصد از مدیران اجرائی خدمات مرتبط به خود شرکت بود ایمیل هک و رمز عبور به بیرون درز. یکی دیگر از بررسی از Dashlane که نزدیک به نیمی در بر داشت (46 درصد) استفاده از کارکنان شخصی کلمه عبور برای محافظت از داده ها شرکت.

    اجرای سیاست رمز عبور گام یک شرکت، به همراه چند فاکتور تأیید هویت را باید است.

    ساخت کارمند امنیت آموزش جذاب

    اگر می خواهید آگاهی امنیت کارکنان آموزش به کار شما نیاز به یادگیری چگونگی تعامل با مخاطبان خود را. اینجا چگونه.

    بدانید که مخاطب شما

    پیام رسانی مسائل و برنامه های آموزشی موثر خیاط مطالب خود را به مخاطبان خود را.

    “پیام متفاوت برای گروه حسابرسان داخلی دولت از اتاق پر از COs از شرکت های بزرگ امنیتی مربی Lohrmann گفت:. دیگر عوامل در نظر گرفتن اصطلاحات اديان جذاب،، نظم در ظاهر می شود که سخنرانان یا مدرسان و موضوعاتی برای متهمان همراه با آماده شدن برای سوالاتی که مطرح می باشد.

    ایجاد انگیزه برای تغییر

    “این همه چیز در مورد درک فرهنگ و ارتباطات و احساسات، گفت:” کجا است ISACA را Spitzner. “متاسفانه، بسیاری از افراد فنی نیستند قوی در این زمینه; این که در آن شما نیاز مخابرات یا رشته های بازاریابی است.”

    از بند باز کردن درونتان،

    Droning مورد جنبه های فنی cyberattack راه یقین به از دست دادن علاقه کارمند است. به توصیه Lohrmann “مخاطبان داستان های cyberwar، دوست دارم”. “مردم یاد داستان بسیار بیشتر از آمار و ارقام.”

    آموزش تعاملی را

    جمعیت به کمک کارمندان حفظ مواد ارائه شده به آنها دریافت کنید. حداقل، درخواست برای نمایش دست و جلسات فلفل با سوال از مخاطبان بیشتر درگیر گفت: Lohrmann.

    اقامت مربوط

    تا کنون از باشگاه بدون یادگیری چیزی جدید راه رفتن? جلوگیری از این کار را با ارائه مطالب “در راه تازه با پیچ های جدید و آمار و ارقام و داستان، و غیره،” Lohrmann توصیه می شود. “ارائه بینش تازه و یا عملی راهنمایی که مخاطب حق دور می توانید پیاده سازی به کمک در خانه و کار.”

    نتایج

    تعیین کمیت نقطه در بالا بردن سطح آگاهی کارکنان امنیت اگر برنامه کوتاه در بخش “آگاهی” چیست؟

    “شما نیاز به توانایی برای اندازه گیری تغییرات در رفتار و تاثیر کلی این تغییرات به اینکه سازمان خود” هشدار که در آن Spitzner.

    موثر آنلاین آموزش

    سری به تعلیمات خوب و موثر “مختصر مکرر و متمرکز بر روی یک موضوع واحد” نگه داشتن آن است، گفت: Lohrmann. علاوه بر این، آن را باید مداوم به کمک کاربران نگه دارید تا با آخرین روند. برخی از تم های فوق نامزد آن نیز جذاب و سرگرم کننده و تعاملی باید.

    .

    Ransomware Malvertising, نرم افزارهای مخرب & آگهی سیستم های

    به اپیدمی نسبت یافت در سال 2016 و نشانه هایی که malvertising به زودی جایگزین ایمیل به عنوان مکانیزم تحویل ترجیح داده است.  اکتشافات جدید به نشان چقدر آسان برای ناشران و تبلیغات آنلاین شبکه، این به عنوان نگرانی مهمی در حال ظهور است- و پر سود آن برای تزریق مسموم تبلیغات آنلاین به وب سایت مشخصات بالا.

    با توجه به داده ها از وزارت دادگستری ایالات متحده حملات ransomware در حال حاضر حدود 4.000 در هر روز تا بیش از 400 درصد از سال قبل به طور متوسط هستند.  برای سه ماه اول سال 2016 اف بی آی آمریکا تخمین می زند که ransomware هزینه قربانیان حملات حدود 210 میلیون دلار باج پرداخت و هزینه های بازیابی.  شماره همراه با سهولت در آن خودکار آگهی های مخرب به سایت های جریان اصلی تضعیف می اندازی طوفان کامل است که باید در بالای ذهن کارکنان عملیات آگهی آنلاین.

    خدمت حملات مشخصات بالا بیش از چند ماه گذشته به عنوان نمونه ransomware malvertising واقعیت را ملاقات می کند.  چند وب سایت ناشران-از جمله نیویورک تایمز، AOL، ام اس ان و پراکسی-به طور همزمان تبلیغات مسموم است که خوانندگان با ransomware و انواع دیگری از ویروس ها آلوده تحت فشار بودند.

    حمله با موفقیت یک شبکه خودکار نمایش مخرب laced پرچم آگهی در سایتهای پر ترافیک به خطر بیافتد. هنگامی که کاربر به صفحه است که در خدمت تبلیغات مخرب surfed, تبلیغ خودکار دو مسیر دو سرور malvertising دوم که تحویل کیت بهره برداری شناخته شده شناخته شده به عنوان ماهی گیر.  کیت ماهی گیر با سوء استفاده از آسیب پذیری های شناخته شده در ده ها تن از نرم افزار از جمله مرورگرهای وب خوان ادوبی، ادوبی فلش و سیلورلایت مایکروسافت نصب شده است.  

    ظرف 24 ساعت تحت تاثیر کمپین malvertising ده ها هزار نفر از کاربران کامپیوتر در ایالات متحده به تنهایی.  نتیجه نهایی میلیون ها نفر از کاربران کامپیوتر که صفحه نمایش کامپیوتر است که خواستار پرداخت bitcoin برای بازیابی اسناد مهم، عکس ها و یا موسیقی و فایل های ویدیویی است که در طی عفونت رمزگذاری شده بودند خیره شد.

    A جدا حمله ماه بعد چند وب سایت مشخصات بالا دلربا JSON فایل به عنوان بخشی از فرآیند برای کشیدن محتوای تبلیغاتی از شبکه های آگهی در بر داشت.  پا زدن فایل JSON که آغاز سری تاییدیه است که کاربران با نوع ransomware TeslaCrypt آلوده به گفته محققان در Trustwave را SpiderLabs.

    اینها فقط دو نمونه از موج بعدی در تازیانه ransomware که پرزیدنت اوباما رسید.   

    آن است که بسیار ساده است برای مخفی کردن کد مخرب در SWF (فلش) تبلیغات و یا فایل های GIF یا حتی در سایت های فرود صفحه و دلیل احتیاط برای اطمینان از مخاطبان سایت قرار داده نمی شود در خطر دو malvertising حمله باید گرفته شود.

    در محیط زیست سمی این ناشران و شبکه های تخصصی آگهی امنیت و تایید برای حفظ نازائی تبلیغات در صفحات وب خود را استفاده از ابزار باید.  GeoEdge می تواند به طور خودکار نقطه نشانه هایی از فعالیت های مشکوک و قبل از آنها صدمه به خوانندگان خود را آگهی های مخرب را مسدود. GeoEdge چگونه ما می تواند کمک به حفظ امنیت سایت و کاربران بپرسید.

    .