فیلم
تماس با ما
خانه
چهارشنبه 4 مهر 1397   03:57:49


 
 

گسترش باج افزار Bit Paymer از طریق آسیب پذیری RDP






بسیاری از بخش های بیمارستانی اسکاتلند، در طی هفته اخیر مورد حمله یک باج افزار قرار گرفته اند.

این باج افزار که Bit Paymer نام دارد، درخواست پرداخت 53 بیت کوین به عنوان باج می کند. این باج افزار از طریق حمله RDP brute force گسترش پیدا کرده است. این باج افزار که از الگوریتم RC4 و RSA-1024 برای رمزنگاری استفاده می کند، بعد از رمزکردن فایل ها پسوند .locked به آن ها اضافه می کند. نکته جالب درباره این بدافزار، تحت تاثیر قرار دادن سازمان های بزرگ است و این نقطه تمایز با دیگر باج افزارهای گسترش یافته از طریق RDP brute force است. باج افزارهای دیگری که از طریق RDP منتشر شده اند،
باج افزارهای RSAUtil، Xpan ، Crysis ، Samas، LowLevel، DMA Locker ، Apocalypse، Smrss32، Bucbi، Aura/BandarChor، ACCDFISA و Globe هستند. این باج افزار نباید با باج افزار Defray اشتباه گرفته شود. Defray باج افزاری است که از طریق پیوست ایمیل منتشر می شود.

تاکنون راه حلی برای رمزگشایی فایل های رمز شده با باج افزار Bit Paymer ارائه نشده است. برای جلوگیری از آلودگی، توصیه می شود که مدیران سرورها قابلیت RDP سرورها را غیرفعال کنند.




منبع:

https://www.bleepingcomputer.com/news/security/bit-paymer-ransomware-hits-scottish-hospitals/



راهکار


در این حملات، مهاجم با سوء استفاده از نسخه‌های آسیب‌پذیر سرویس Remote Desktop‌، رمز عبور ضعیف، تنظیمات ناقص یا بی‌احتیاطی در حفاظت از رمز عبور، وارد سرورها می‌شوند. به منظور جلوگیری از وقوع این حملات لازم است که تا حد امکان، نسبت به مسدود نمودن سرویس ‌های غیر ضروریRemote Desktopبر روی سرورهای در دسترس از طریق شبکه اینترنت اقدام نمود و در صورت ضرورت و غیرقابل اجتناب بودن ارایه این امکان در بستر اینترنت، به دقت موارد زیر را رعایت نمود. همچنین یادآور می‌شود که فعال بودن دسترسی Remote Desktop ‌به صورت حفاظت نشده در سطح اینترنت، سرور و داده‌های شما را جداْ در معرض خطر قرار خواهد داد.

1- به‌روزرسانی مداوم سیستم‌عامل و هوشیاری از احتمال رخداد حملات جدید و شناسایی آسیب‌پذیری‌های جدید.

2- انجام منظم و سخت‌گیرانه پشتیبان‌گیری از اطلاعات بر روی تعداد کافی از رسانه‌های ذخیره‌سازی اطلاعات و آزمایش نسخ پشتیبان پس از هر مرتبه پشتیبان‌گیری.

3- عدم استفاده از کاربر Administratorبرای دسترسی از راه‌دور و تعریف یک کاربر جدید با دسترسی محدود شده برای این منظور.

4- تنظیم کردن سرورها به شکلی که برای ورود موفق، سقف مشخص و محدودی از تلاش‌های ناموفق تعیین شود، سطح قابل قبولی از پیچیدگی برای رمز عبور را الزام نماید و تغییر رمز عبور در بازه زمانی معقولی را اجبار نماید. این فرآیند در سیستم‌عامل‌های مختلف متفاوت بوده و بسیار ساده اما تاثیر گذار است و سبب پیشگیری از موفقیت بسیاری از حملات بر پایه دیکشنری یا دزدیدن رمز عبور می‌شود.

5- در صورت امکان، محدود کردن اجازه استفاده از خدمات دسترسی از راه‌دور در فایروال به آدرس آی‌پی‌های مشخص. همچنین، ایجاد لایه‌های دفاعی بیشتر با تکیه بر خدماتی چون VPN.

6- محدود کردن زمان و ساعت استفاده از خدمات دسترسی از راه‌دور با استفاده از Group Policy Managerویندوز. (مثلا محدود کردن دسترسی به ساعات اداری) یا حتی فعال کردن دسترسی از راه دور فقط در زمان نیاز و غیر فعال نمودن آن پس از رفع نیاز.

7- بررسی مداوم و روزانه گزارش‌های امنیتی (مخصوصا گزارش مربوط به Log-inدر Event-viewerویندوز)، گزارش  آنتی ویروس و فایروال، جهت آگاه شدن از مواردی چون زمان ورود هر کاربر و توجه و واکنش متناسب به موارد غیر متعارف همچون ورود در روزهای یا ساعت‌های تعطیل و تلاش‌های ناموفق بدافزارها برای دسترسی و آلوده سازی.

8- دقت مضاعف در زمان استفاده از نام کاربری و گذرواژه برای دسترسی از راه دور، مخصوصا در زمانی که برای اتصال از رایانه دیگران استفاده می‌شود.

انواع Key loggerاز تروجان‌ها می‌توانند با دزدیدن مخفی اطلاعات تایپ شده، دسترسی مهاجمین به سرورها را ممکن کنند. این نوع از حملات به این دلیل که در ناآگاهی کاربر یا مدیر، تمام فرآیند ورود را می‌بینند، بسیار خطرناک بوده و منشاء اغلب حملات با میزان خسارت درشت در ماه‌های اخیر هستند .




کلمات کليدي
 
امتیاز دهی
 
 





خانه | بازگشت |
Guest (niocguest)


اجرا با : پورتال سازمانی سیگما