چرایی و چگونگی حمله اخیر باج‌افزاری به یکی از زیرساخت‌های کشور

گروه سیاسی الف،   3990805130

مرکز مدیریت راهبردی افتا، اعلام کرد: بررسی‌های اولیه در آزمایشگاه این مرکز نشان می‌دهد که مبدا اصلی حمله اخیر باج‌افزاری، اجرای یک کد پاورشل از روی یکی از سرورهای DC بوده است.

چرایی و چگونگی حمله اخیر باج‌افزاری به یکی از زیرساخت‌های کشور

 به گزارش مهر به نقل از مرکز مدیریت راهبردی افتای ریاست جمهوری، در پی بروز یک حادثه باج‌افزاری در یکی از زیرساخت‌های حیاتی در ماه گذشته، تیم پاسخ به حادثه مرکز افتا ضمن حضور در محل این سازمان و بررسی شواهد حادثه، به کمک کارشناسان همان سازمان، اقدامات لازم را برای مدیریت حادثه انجام داده است.

اقدامات مهاجمین به ‌گونه‌ای بوده است که بعضی از فایل‌هایِ اکثر کلاینت ها و سرورهای متصل به دامنه، دچار تغییر شده‌اند به نحوی که برخی از فایل‌ها فقط پسوندشان تغییر یافته، برخی دیگر فقط بخشی از فایل و بعضی دیگر بطور کامل رمز شده‌اند.

بررسی‌های اولیه در آزمایشگاه مرکز افتا نشان می‌دهد که مبدا اصلی حملات، اجرای یک کد پاورشل از روی یکی از سرورهای DC سازمان بوده است. اما هنوز نحوه نفوذ به این سرورها مشخص نیست ولی شواهدی مبنی بر سوءاستفاده از آسیب پذیری Zero logon در سرورها وجود دارد.

این حمله به صورت File-less انجام شده است و در حقیقت هیچ فایلی روی سیستم‌های قربانیان اجرا نشده و تمام عملیات مخرب توسط اجرای یک کد پاورشل از راه دور انجام شده است.

مهاجمان سایبری تنها بخشی از فایل‌ها را رمزگذاری و همین فایل‌ها را در کمترین زمان تخریب کرده‌اند و برای جلوگیری از ایجاد اختلال در عملکرد خود سیستم‌عامل، بخشی از فایل‌ها و مسیرهای خاص در فرایند رمزگذاری درنظر نگرفته‌اند.

در این حمله باج افزاری، به دلایل مختلف همچون عدم جلوگیری از فرایند رمزگذاری، چند برنامه‌ کاربردی حذف و یا غیرفعال و برای جلوگیری از بازگرداندن فایل‌های قربانی، Shadow-Copy و Restore-Point سامانه مربوط، پاک می شود.

مهاجمین در پوشه‌هایی که فایل‌های آن رمزنگاری شده‌اند، فایلی را به نام Readme.READ ایجاد کردند که حاوی آدرس‌های ایمیل آنها است.

کارشناسان واحد امداد مرکز مدیریت راهبردی افتا، برای مقابله با این‌گونه باج افزارها توصیه می کنند حتما کلاینت‌های کاری پس از اتمام ساعات کاری خاموش شوند و اتصال پاور آن‌ها قطع شود.

غیرفعال کردن اجرای کد از راه دور با ابزارهایی مانند Powershell/PsExec و همچنین سیگنال Wake-on-LAN ) WoL) در BIOS/UEFI از دیگر توصیه‌های امنیتی برای مقابله با این گونه باج افزارها عنوان شده است.

کارشناسان واحد امداد افتا همچنین از مسئولان و کارشناسان آی تی خواسته اند تا برای جلوگیری از ارسال فرمان WOL در شبکه، پورت‌های ۷ و ۹ UDP را ببندند.

برای جلوگیری از سوءاستفاده بدافزارها، مقاوم سازی و به روزرسانی سرویس های AD و DC توصیه می شود و باید برای شناسایی هر گونه ناهنجاری، بصورت دوره ای لاگ های ویندوز بررسی شوند.

مرکز مدیریت راهبردی افتای ریاست جمهوری، پشتیبان گیری منظم و انتقال فایل‌های پشتیبان را به خارج از شبکه، از دیگر راه‌های مقابله با هر نوع باج افزاری عنوان می‌کند و از همه مسئولان و کارشناسان آی تی زیرساخت‌های کشور خواسته است تا همه این توصیه‌ها را به دقت انجام دهند.

مشروح بررسی تحلیلی و فنی این باج افزار به همراه مستندات لازم، در سایت مرکز افتا اینجا منتشر شده است.

یکتانتتریبون

پربحث‌های دیروز

  1. یک پیشنهاد اقتصادی به وزارت خارجه 

  2. اطلاعات کاملی از مراکز حساس و راهبردی اسراییل داریم

  3. رئیسی، خط قرمز دولتش را اعلام کرد/ خط و نشان ایران برای علی‌اف / ارزیابی سالانه مدیران شهرداری

  4. مهدوی: تنش جدی بین طالبان و شیعیان نیست/ احمد مسعود بین مردم نفوذی ندارد

  5. تکاپوی اعراب و اروپایی‌ها برای همگرایی با دمشق/ آمریکا به شکست خود اعتراف می‌کند؟

  6. ابراز تعجب خطیب زاده از اظهارات علی اف/ حضور رژیم صهیونیستی در نزدیکی مرزهایمان را تحمل نمی کنیم

  7. پاسخ ایران به ادعای امارات درباره جزایرسه گانه و تذکر درباره خلیج فارس

  8. تصویر آقای هاشمی رفسنجانی در حال سوارکاری

  9.  وام ودیعه مسکن؛ فقط یکی از هر ۱۵۴ خانوار مستاجر !

  10. پشت پرده دستور رییسی به بانک مرکزی چیست؟/ آيا دستور رييسي قيمت ارز را تغيير مي‌دهد؟

  11. حاجی دلیگانی: گزارش‌هایی در مورد «اهمال دولت تدبیر» در تامین واکسن به مجلس رسید

  12. واقعیت‌های موجود افغانستان در برابر طالبان

  13. پرداخت قبض برق قسطی شد

  14. گران‌ترین ماشین ظرفشویی‌های بازار چند؟ / جدول نرخ‌ها

پربحث‌های هفته

  1. «علی لندی» نوجوان قهرمان ایذه‌ای آسمانی شد

  2. رمزگشایی از مواضع اخیر امیر عبداللهیان

  3. دستور رییسی درباره بیژن عبدالکریمی

  4. شیوه عجیب و خطرناک جابجایی زائران اربعین با هواپیما باربری

  5. سناریوهای احتمالی در مورد آینده برجام

  6. مجری فاکس نیوز رئیس جمهور کشورش را با خاک یکسان کرد

  7. نسخه راغفر برای مهار تورم/ توضیح امیرعبداللهیان درباره زمان آغاز مذاکرات هسته‌ای/ پاسخ عراقچی به کیهان درباره گریه وندی شرمن در مذاکرات برجام

  8. چرا توان هسته ای ایران را نمی توان تضعیف کرد؟

  9. شکار ناگهانی سگ توسط کروکدیل گرسنه

  10. فرمان جهاد صادر شد...

  11. اتهام‌زنی‌های علی‌اف به ایران در گفت‌وگو با رسانه ترکیه‌ای / کامیون‌های ایران باید مالیات پرداخت کنند

  12. سخنی با برادرمان آقای عراقچی

  13. مقام سابق آمریکایی: اسرائیل تا ۲۰ سال دیگر وجود نخواهد داشت

  14. نیکزاد: لشکر آذری‌ها گوش به فرمان رهبر انقلاب هستند

  15. عجیب اما واقعی! هذیان گویی بایدن در آنتن زنده

  16. لایحه رتبه‌بندی معلمان مهرماه در مجلس شورای اسلامی تصویب خواهد شد

  17. واردات خودرو ، مفید یا مضر ؟ 

  18. به نام فقرا به کام اغنیا

  19. دفاعیات میرسلیم از طرح صیانت/ علت سکوت روحانی در این روزها چیست؟/ واکنش مثبت علی مطهری به نطق رئیسی در سازمان ملل

  20. خرید گنبد آهنین اسرائیل توسط عربستان و پیامدهای آن

  21. دستگیری دعانویس میلیاردر در نیاوران

  22. فیلم| وداع با قهرمان دهه هشتادی/ «علی لندی» فهمیده دوران شد پیکر

  23. این نیز گذشت و روسیاهی به ذغال ماند!

  24. اتحاد آنگلوساکسونها علیه دنیا !

  25.  بیش از ۶۴میلیون سفر در هر ماه؛ اسنپ چقدر می‌ارزد؟

ابر آروان

آخرین عناوین