چرایی و چگونگی حمله اخیر باج‌افزاری به یکی از زیرساخت‌های کشور

گروه سیاسی الف،   3990805130

مرکز مدیریت راهبردی افتا، اعلام کرد: بررسی‌های اولیه در آزمایشگاه این مرکز نشان می‌دهد که مبدا اصلی حمله اخیر باج‌افزاری، اجرای یک کد پاورشل از روی یکی از سرورهای DC بوده است.

چرایی و چگونگی حمله اخیر باج‌افزاری به یکی از زیرساخت‌های کشور

 به گزارش مهر به نقل از مرکز مدیریت راهبردی افتای ریاست جمهوری، در پی بروز یک حادثه باج‌افزاری در یکی از زیرساخت‌های حیاتی در ماه گذشته، تیم پاسخ به حادثه مرکز افتا ضمن حضور در محل این سازمان و بررسی شواهد حادثه، به کمک کارشناسان همان سازمان، اقدامات لازم را برای مدیریت حادثه انجام داده است.

اقدامات مهاجمین به ‌گونه‌ای بوده است که بعضی از فایل‌هایِ اکثر کلاینت ها و سرورهای متصل به دامنه، دچار تغییر شده‌اند به نحوی که برخی از فایل‌ها فقط پسوندشان تغییر یافته، برخی دیگر فقط بخشی از فایل و بعضی دیگر بطور کامل رمز شده‌اند.

بررسی‌های اولیه در آزمایشگاه مرکز افتا نشان می‌دهد که مبدا اصلی حملات، اجرای یک کد پاورشل از روی یکی از سرورهای DC سازمان بوده است. اما هنوز نحوه نفوذ به این سرورها مشخص نیست ولی شواهدی مبنی بر سوءاستفاده از آسیب پذیری Zero logon در سرورها وجود دارد.

این حمله به صورت File-less انجام شده است و در حقیقت هیچ فایلی روی سیستم‌های قربانیان اجرا نشده و تمام عملیات مخرب توسط اجرای یک کد پاورشل از راه دور انجام شده است.

مهاجمان سایبری تنها بخشی از فایل‌ها را رمزگذاری و همین فایل‌ها را در کمترین زمان تخریب کرده‌اند و برای جلوگیری از ایجاد اختلال در عملکرد خود سیستم‌عامل، بخشی از فایل‌ها و مسیرهای خاص در فرایند رمزگذاری درنظر نگرفته‌اند.

در این حمله باج افزاری، به دلایل مختلف همچون عدم جلوگیری از فرایند رمزگذاری، چند برنامه‌ کاربردی حذف و یا غیرفعال و برای جلوگیری از بازگرداندن فایل‌های قربانی، Shadow-Copy و Restore-Point سامانه مربوط، پاک می شود.

مهاجمین در پوشه‌هایی که فایل‌های آن رمزنگاری شده‌اند، فایلی را به نام Readme.READ ایجاد کردند که حاوی آدرس‌های ایمیل آنها است.

کارشناسان واحد امداد مرکز مدیریت راهبردی افتا، برای مقابله با این‌گونه باج افزارها توصیه می کنند حتما کلاینت‌های کاری پس از اتمام ساعات کاری خاموش شوند و اتصال پاور آن‌ها قطع شود.

غیرفعال کردن اجرای کد از راه دور با ابزارهایی مانند Powershell/PsExec و همچنین سیگنال Wake-on-LAN ) WoL) در BIOS/UEFI از دیگر توصیه‌های امنیتی برای مقابله با این گونه باج افزارها عنوان شده است.

کارشناسان واحد امداد افتا همچنین از مسئولان و کارشناسان آی تی خواسته اند تا برای جلوگیری از ارسال فرمان WOL در شبکه، پورت‌های ۷ و ۹ UDP را ببندند.

برای جلوگیری از سوءاستفاده بدافزارها، مقاوم سازی و به روزرسانی سرویس های AD و DC توصیه می شود و باید برای شناسایی هر گونه ناهنجاری، بصورت دوره ای لاگ های ویندوز بررسی شوند.

مرکز مدیریت راهبردی افتای ریاست جمهوری، پشتیبان گیری منظم و انتقال فایل‌های پشتیبان را به خارج از شبکه، از دیگر راه‌های مقابله با هر نوع باج افزاری عنوان می‌کند و از همه مسئولان و کارشناسان آی تی زیرساخت‌های کشور خواسته است تا همه این توصیه‌ها را به دقت انجام دهند.

مشروح بررسی تحلیلی و فنی این باج افزار به همراه مستندات لازم، در سایت مرکز افتا اینجا منتشر شده است.

یکتانت

پربحث‌های دیروز

  1. اهداف ترور «فخری‌زاده» به روایت روزنامه لبنانی

  2. سر چشمه شاید گرفتن به بیل ...

  3. رفتار دشمن را پر هزینه کنیم!

  4. رهاشدگی بازارها و وعده‌های بی‌نتیجه/ در جنگ اقتصادی غرب وزارت صمت کجاست؟

  5. روایت شمخانی از عملکرد نهادهای امنیتی در ترور شهید فخری‌زاده/ آغاز محاکمه پوری‌حسینی/ احمدی‌نژاد قصد دارد در انتخابات ۱۴۰۰ نامزد شود؟/ انتقاد فائزه هاشمی از خاتمی و اتحاد ملت

  6. العالم خبر داد: ترور شهید فخری‌زاده با سلاح اسرائیلی از طریق ماهواره

  7. برگزاری نخستین جلسه دادگاه «پوری‌حسینی»/ نماینده دادستان: پوری‌حسینی متهم است به اخلال عمومی در نظام تولیدی

  8. گزارش مرکز پژوهش‌ها از دلایل شکست پروژه صدور کارت ملی هوشمند

  9. دولت بایدن هنوز نیامده به رژیم صهیونیستی خوش خدمتی می‌کند!

  10. شمخانی: عملیات ترور شهید فخری‌زاده با تجهیزات الکترونیکی انجام شد/ هیچ فردی در صحنه حضور نداشت

  11. مخدوش کردن پلاک در زمان طرح محدودیت تردد

  12. آژانس اتمی: توقف بازرسی‌ها بردی نصیب ایران نمی‌کند

  13. رئیسی: دستگاه‌های امنیتی در شناسایی شبکه نفوذ لحظه‌ای درنگ نکنند/ در انجام اقدامات بازدارنده نسبت به دشمن نباید کوتاهی کرد

  14. عذرخواهی شبکه دو به دلیل یک اشتباه فاحش

  15. بایدن مصدوم شد/ واکنش ترامپ

  16. واعظی: شهید فخری‌زاده عضوی از دولت بود / او ‌نشان خدمت از دست رئیس‌جمهور دریافت کرد

  17. وزیر اطلاعات:‌ سرنخ‌های زیادی از ترور شهید فخری‌زاده داریم

  18. پاسخ مجری شبکه لندنی به یاوه‌گویی‌ها در مورد ترور دانشمند هسته‌ای ایران

  19. متولد روز رُند

  20. عملیات بازار باز از تئوری تا واقعیت

  21. مافیای واردات خودرو دوباره فعال شد؟!

  22. سفر به دور دنیا؛ شرط زن جوان برای ادامه زندگی

  23. تحلیل گاردین از دخالت اسرائیل و مجوز ترامپ در ترور شهید فخری زاده

  24. گلایه خواننده سرشناس ترکیه از عوامل یک سریال ایرانی

  25. واکنش بحرین به ترور شهید فخری زاده

پربحث‌های هفته

  1. نقشه جو بایدن برای اقتصاد شش ماه آینده ایران

  2. پرسش های بی پاسخ در ترور شهید فخری زاده

  3. تکرار جنایتی دیگر در حق دانشمندان ایرانی

  4. یک راه سوم بین دو راهی انتقام

  5. کمپین مردمی، مرغ وحشی را به دام می اندازد؟!

  6. قرار است مرغ هم از سفره مردم پر بکشد؟!

  7. این تحلیل ها دام است !

  8. دریای دوغ و خبرهای کلیشه‌‌ای!...

  9. نشانه شناسی یک ترور؛ چشم های آبی، دندان های نیش

  10. رهبر انقلاب: اقتصاد خانواده‌ها در چند سال اخیر به شدت تحت فشار بوده/ نمی‌توان به امید گشایش بیگانگان ماند/ مذاکره برای رفع تحریم را یکبار امتحان کردیم و به نتیجه‌ای نرسید

  11. واکنش ترامپ به ترور محسن فخری‌زاده

  12. چرا عربستان به صلح مجانی با اشغالگران تن داد؟

  13. وقتش که برسد خواهید دید ...

  14. اهداف ترور «فخری‌زاده» به روایت روزنامه لبنانی

  15. چگونه پاسخ به ترور به رفع تحریم ها کمک می کند؟

  16. رونمایی از نقشه‌راه اروپا و آمریکا برای احیای برجام

  17. ظریف: سردار سلیمانی همیشه در مقابل درد و دل‌هایم می‌گفت باید تحمل کنی/ می‌گویند ظریف جاسوس است/ قصدی برای کاندیداتوری در ۱۴۰۰ ندارم/ به امضای جان کری یا قسم اوباما اعتماد نکردیم

  18. حراج آبروی طب سنتی در عطاری‌های متخلف

  19. سر چشمه شاید گرفتن به بیل ...

  20. غذاخوری‌های دانشگاه‌های خارجی چه امکاناتی دارند؟+تصاویر

  21. روحانی: خدا را شکر شرِ ترامپ کم شد

  22. همدستان قاتلان شهید فخری زاده چه کسانی هستند؟

  23. رسانه آمریکایی :موساد با پشتیبانی اطلاعاتی آمریکا اقدام به ترور فخری زاده کرده است 

  24. استانداری تهران: فروش مرغ بالاتر از ۲۰۴۰۰ تومان تخلف است

  25. رفتار دشمن را پر هزینه کنیم!

پربحث‌های هفته

  1. نقشه جو بایدن برای اقتصاد شش ماه آینده ایران

  2. پرسش های بی پاسخ در ترور شهید فخری زاده

  3. تکرار جنایتی دیگر در حق دانشمندان ایرانی

  4. یک راه سوم بین دو راهی انتقام

  5. این تحلیل ها دام است !

  6. نشانه شناسی یک ترور؛ چشم های آبی، دندان های نیش

  7. رهبر انقلاب: اقتصاد خانواده‌ها در چند سال اخیر به شدت تحت فشار بوده/ نمی‌توان به امید گشایش بیگانگان ماند/ مذاکره برای رفع تحریم را یکبار امتحان کردیم و به نتیجه‌ای نرسید

  8. وقتش که برسد خواهید دید ...

  9. چگونه پاسخ به ترور به رفع تحریم ها کمک می کند؟

  10. رونمایی از نقشه‌راه اروپا و آمریکا برای احیای برجام

  11. ظریف: سردار سلیمانی همیشه در مقابل درد و دل‌هایم می‌گفت باید تحمل کنی/ می‌گویند ظریف جاسوس است/ قصدی برای کاندیداتوری در ۱۴۰۰ ندارم/ به امضای جان کری یا قسم اوباما اعتماد نکردیم

  12. سر چشمه شاید گرفتن به بیل ...

  13. رفتار دشمن را پر هزینه کنیم!

  14. رهاشدگی بازارها و وعده‌های بی‌نتیجه/ در جنگ اقتصادی غرب وزارت صمت کجاست؟

  15. ترور یکی از دانشمندان هسته‌ای-موشکی در آبسرد دماوند/ نتانیاهو درباره این دانشمند ایرانی چه گفته بود؟ + عکس

  16. واکنش سخنگوی سازمان انرژی اتمی به ادعای ترور یک دانشمند هسته ای

  17. سردار دهقان؛ اولین نامزد رسمی انتخابات ریاست‌جمهوری/ نامه انتقادی همتی به روحانی/ اصلاح‌طلبان همچنان به‌دنبال تنش‌زدایی/ قالیباف از نامزدی در انتخابات منع شده است؟

  18. رقابت احتمالی سعیدمحمد و قالیباف در اردوگاه اصولگرایان/ واقعیت دادگاه‌های علنی/ کارگزاران همچنان در فکر حمایت از لاریجانی/ ظریف از کدام نامزد انتخابات حمایت می‌کند؟

  19. روحانی: پایان دوران ترامپیسم یکی از مظاهر بزرگ پیروزی ملت ایران است/ دولت آینده آمریکا گذشته را جبران کند

  20. روایتی از نحوه ترور شهید فخری‌‌زاده

  21. قالیباف: قیمت مرغ به نماد ناکارآمدی تبدیل شده است/ دست روی دست گذاشتن تا لغو تحریم‌ها کارگشا نیست

  22. تایید ترور دانشمند هسته ای ایران

  23. ربیعی: گرانی‌های ناخواسته نگرانی مشترک دولت و مردم است/ نرخ مرغ به قیمت‌های مصوب برمی‌گردد

  24. روایت شمخانی از عملکرد نهادهای امنیتی در ترور شهید فخری‌زاده/ آغاز محاکمه پوری‌حسینی/ احمدی‌نژاد قصد دارد در انتخابات ۱۴۰۰ نامزد شود؟/ انتقاد فائزه هاشمی از خاتمی و اتحاد ملت

  25. العالم خبر داد: ترور شهید فخری‌زاده با سلاح اسرائیلی از طریق ماهواره

آخرین عناوین