کمیته رکن چهارم – FBI در مورد باجافزار BlackCat که بهصورت خدمات اجارهای (RaaS) در اختیار تبهکاران سایبری قرار گرفته، هشدار داده است.
بهتازگی FBI در مورد باجافزار BlackCat که بهصورت خدمات اجارهای (Ransomware-as-a-Service – بهاختصار RaaS) در اختیار تبهکاران سایبری قرار گرفته، هشدار داده است. این باجافزار از زمان ظهور آن در آبان ۱۴۰۰ تا اوایل فروردین سال جاری، حداقل ۶۰ سازمان در سراسر جهان را مورد هدف قرار داده است.
باجافزار BlackCat که ALPHV و Noberus نیز نامیده میشود، اولین نمونهای است که به زبان برنامهنویسی Rust نوشته شده است و به دلیل ارائه عملکرد بهتر، بسیار موردتوجه قرار گرفته است.
FBI همچنین اعلام کرده است که بسیاری از برنامهنویسان این باجافزار و افرادی که باجهای دریافتی آن را پولشویی میکنند، با گردانندگان باجافزار DarkSide/BlackMatter در ارتباط هستند، که این امر نشان دهنده ارتباط گسترده مهاجمان BlackCat و تجربه و تبحر فراوان آنان در حملات باجافزاری است.
این اطلاعات چند هفته پس از انتشار دو گزارش از طرف محققان امنیتی سیسکو (Cisco Systems, Inc.) و کسپرسکی (Kaspersky Lab.) توسط FBI ارائه شده است. در گزارشهای منتشر شده توسط این دو شرکت، ارتباطاتی بین باجافزارهای BlackCat و BlackMatter شناسایی و اعلام شده بود، از جمله استفاده از نسخه اصلاحشده ابزار Fendr جهت استخراج داده که قبلاً فقط در فعالیتهای مرتبط با BlackMatter مشاهده شده بود.
یکی از دیگر مزایای کدهای مخرب نوشته شده با زبان برنامهنویسی Rust این است که امکان تشخیص این کدهای مخرب توسط ابزارهای تحلیل ساده، کمتر است زیرا این ابزارها با همه زبانهای برنامهنویسی همخوانی و سازگاری ندارند.
مانند سایر گروههای اجارهدهنده باجافزار، BlackCat نیز قبل از اجرای عملیات باجافزار، اقدام به سرقت دادههای قربانیان میکند. باجافزار اغلب از مجوزهای دسترسی سرقت شده برای دسترسی اولیه به سیستم موردنظر خود استفاده میکند.
در یکی از حملات باجافزار BlackCat که در ۲۶ اسفند ۱۴۰۰ رخ داد و توسط محققان آزمایشگاه Forescout Vedere تحلیل شده است، مشخص شد که از یک فایروال SonicWall SRA از ردهخارج و بهروز نشده، برای دسترسی اولیه به شبکه، سوءاستفاده شده و پس از ورود اقدام به رمزگذاری کردند.
FBI علاوه بر توصیه به قربانیان برای گزارش فوری حوادث باجافزاری، پرداخت باج را بههیچوجه توصیه نمیکند، زیرا هیچ تضمینی وجود ندارد که فایلهای رمزگذاری شده بازیابی شوند. اما درعینحال تصدیق کرده که قربانیان ممکن است برای محافظت از سهامداران، کارمندان و مشتریان خود مجبور شوند به چنین درخواستهای باجگیری تن دهند.
FBI به سازمانها اقدامات زیر را برای ایمن ماندن از گزند باجافزارها توصیه میکند:
- سرورها،Domain Controller، ایستگاههای کاری و دایرکتوریهای فعال را برای حسابهای کاربری جدید یا ناشناس بررسی کنید.
- از رمزهای عبور پیچیده، هک نشده و غیرتکراری برای حسابهای کاربری محلی (Local)، تحت دامنه (Domain)، سیستمعامل و پایگاههای داده، بهویژه حسابهای با سطح دسترسی Administrator/SysAdmin استفاده کنید.
- به طور مرتب رمزهای عبور به سیستمها و حسابهای کاربری شبکه را تغییر دهید و از استفاده از رمزهای عبور تکراری برای حسابهای مختلف خودداری کنید.
- به طور منظم از دادهها و رمزهای عبور بهصورت آفلاین نسخه پشتیبان تهیه کنید. اطمینان حاصل کنید که دادههای نسخه پشتیبان بر روی سیستمی که نگهداری میشوند قابل تغییر یا حذف نیستند.
- در کوتاهترین بازههای زمانی قابلقبول جهت تغییر رمزهای عبور اقدام کنید.
- بخش زمانبندی وظایف (Task Scheduler) را برای وظایف زمانبندیشده ناشناخته بازبینی کنید. بهعلاوه، وظایف زمانبندیشده را برای یافتن «اقدام» ناشناخته بازبینی کنید (بهعنوانمثال: مراحل و گامهایی که هر وظیفه زمانبندی شده باید انجام دهد را مرور کنید).
- گزارشهای ضدویروس را برای یافتن نشانههایی که حاکی از خاموش شدن غیرمنتظره ضدویروس هستند، مرور کنید.
- شبکه را تقسیمبندی کنید.
- سطح دسترسی کاربران را محدود کنید به صورتی که جهت نصب نرمافزار به تأیید مدیر شبکه نیاز باشد.
- سطوح دسترسی اعمال شده بر روی پوشههای اشتراکی را بهصورت سختگیرانه مدیریت کنید.
- یک طرح بازیابی برای نگهداری و حفظ نسخ پشتیبان متعدد از دادهها و سرورهای حساس و حیاتی یا اختصاصی در یک مکان فیزیکی جدا، بخشبندی شده و ایمن (بهعنوانمثال، دیسکهای سخت، دستگاههای ذخیرهسازی، بسترهای ابری) اجرا و تدوین کنید.
- بهمحض انتشار اصلاحیهها و بهروزرسانی سیستمعامل، نرمافزارها و ثابتافزارها، اقدام به نصب و اعمال آنها کنید.
- در صورت امکان از احراز هویت چندعاملی (Multifactor Authentication) استفاده کنید.
- پورتهای دسترسی از راه دور / پودمان دسکتاپ از راه دور (Remote Desktop Protocol – بهاختصار RDP) استفاده نشده را غیرفعال کنید یا حداقل درگاه پیشفرض آنها را تغییر دهید و گزارشهای دسترسی از راه دور/RDP را بررسی کنید.
- حسابهای کاربری دارای اختیارات مدیریتی را بازبینی کنید و مجوز دسترسی به حسابها را با حداقل اختیارات قابلقبول، پیکربندی کنید.
- برای نصب ضدویروس قدرتمند و بهروزرسانی منظم آن و بهکارگیری نرمافزارهای ضد باجافزار بر روی همه سرورها اقدام کنید.
- برای استفاده از دیواره آتش (Firewall) در درگاه شبکه اقدام کنید.
- فقط از شبکههای امن استفاده کنید و از شبکههای Wi-Fi عمومی استفاده نکنید. نصب و استفاده از یک شبکه خصوصی مجازی (VPN) را در دستور کار قرار دهید.
- جهت هوشیاری بیشتر کاربران، افزودن یک اعلان (Banner) به ایمیلهای دریافتی از خارج از سازمان خود را در اولویت قرار دهید.
- پیوندها (Hyperlink) را در ایمیلهای دریافتی غیرفعال کنید.
منبع : مرکز مدیریت راهبردی افتا