مبدأ اصلی حمله باج‌افزاری به زیرساخت‌های کشور مشخص شد

مبدأ اصلی حمله باج‌افزاری به زیرساخت‌های کشور مشخص شد

۲۲ مهر فرد یا گروهی به برخی زیرساخت‌های مهم کشور حمله‌ی باج‌افزاری کرد. دو دستگاه دولتیِ سازمان بنادر کشور و وزارت راه درگیر این حمله و وب‌سایت آن‌ها از دسترس خارج شدند. حال مرکز مدیریت راهبردی افتا جزئیات حمله‌ی بدافزاری اخیر را منتشر کرده است.

به‌گزارش مرکز مدیریت راهبردی افتای ریاست‌جمهوری، مبدأ اصلی حمله اجرای کد پاورشل از روی یکی از سرورهای DC بوده است. مهاجمان برخی فایل‌های اکثر کلاینت‌ها و سرورهای متصل به دامنه را دچار تغییر کرده‌اند؛ به‌گونه‌ای که پسوند برخی فایل‌ها تغییر یافتند و در برخی موارد بخشی از فایل و در مواردی هم کاملا رمزگذاری شدند.

طبق نتیجه‌ی بررسی‌های اولیه در آزمایشگاه مرکز افتا، نحوه‌ی نفوذ به سرورهای DC هنوز مشخص نیست؛ اما شواهدی مبنی‌بر سوءاستفاده از آسیب‌پذیری Zero logon وجود دارد. افتا گزارش می‌دهد که حمله‌ی باج‌افزاری اخیر به‌صورت File-less انجام شد؛ یعنی هیچ فایلی روی سیستم‌ قربانیان اجرا نشد و تمام عملیات مخرب ازطریق اجرای کد پاورشل از راه دور انجام شد.

در گزارش مرکز مدیریت افتا آمده است:

مهاجمان سایبری تنها بخشی از فایل‌ها را رمزگذاری و همین فایل‌ها را در کمترین زمان تخریب کرده‌اند و برای جلوگیری از ایجاد اختلال در عملکرد خود سیستم‌عامل، بخشی از فایل‌ها و مسیرهای خاص در فرایند رمزگذاری را در نظر نگرفته‌اند.

در زمان حمله، بنا به برخی دلایل مانند جلوگیری‌نکردن از فرایند رمزگذاری، چند برنامه‌ی کاربردی حذف یا غیرفعال می‌شوند. همچنین برای جلوگیری از بازگرداندن فایل‌های قربانی، Shadow-Copy و Restore-Point سامانه مربوط حذف می‌شود.

در ادامه‌ی گزارش می‌خوانیم مهاجمان در پوشه‌هایی که فایل‌های آن‌ها رمزنگاری شده‌اند، فایلی را به‌نام Readme.READ ایجاد کردند که حاوی آدرس‌های ایمیلشان است. بنا به توصیه‌ی واحد امداد مرکز مدیریت راهبردی افتا، برای مقابله با این ‌نوع باج‌افزارها لازم است کلاینت‌های کاری پس از اتمام ساعات کاری خاموش و اتصال پاور آن‌ها هم قطع شود. غیرفعال‌کردن اجرای کد از راه دور با ابزارهایی مانند Powershell/PsExec و سیگنال Wake-on-LAN) WoL) در BIOS/UEFI، بستن پورت‌های ۷ و ۹ UDP برای جلوگیری از ارسال فرمان WOL در شبکه، پشتیبان‌گیری منظم و انتقال فایل‌های پشتیبان به خارج از شبکه از دیگر توصیه‌های امنیتی افتای ریاست‌جمهوری عنوان شد.

افزون‌براین، مقاوم‌سازی و به‌روزرسانی سرویس‌های AD و DC برای جلوگیری از سوءاستفاده بدافزارها و بررسی دوره‌ای لاگ‌های ویندوز برای شناسایی هرگونه ناهنجاری نیز توصیه شده است.