> 
باج افزار (Ransomware) چیست و چگونه می توان از آن جلوگیری کرد؟
باج افزار (ransomware) کد مخربی است که فایل ها و یا محیط عملیاتیِ endpoint را غیر فعال می کند تا از قربانی، درخواست باج کند.
مجرمان سایبری از باج افزارها استفاده می کنند تا کنترل دستگاه و یا سیستم مورد نظر را در دست گیرند و بتوانند درخواست باج کنند. نسخه های اولیه ی باج افزارها به گونه ای بودند که مهاجمان سایبری پس از دریافت باج، یک کلید رمزنگاری به قربانی می دادند، تا کنترل سیستم خود را دوباره به دست آورند.
سیر تکامل باج افزارها
در حال حاضر باج افزارها بسیار تکامل یافته اند و شامل انواع مختلفی می باشند. برخی از باج افزارها تنها فایل ها را رمزنگاری می کنند، در حالی که برخی دیگر به طور کل سیستم فایل ها را از بین می برند. بعضی از مهاجمان سایبری صرفا با انگیزه مالی دست به حملات باج افزاری می زنند و پس از دریافت مبلغِ درخواستی، فایل ها را به قربانی باز می گردانند. برخی دیگر از مهاجمان، به دلایل سیاسی و یا دلایل دیگر، حتی پس از دریافت باج، باز هم اطلاعات را باز نمی گردانند.
در حال حاضر، بسیاری از کمپین های باج افزاری از اقدامات و روش های متعددی برای دریافت مبلغ باج استفاده می کنند. بعضی از مهاجمان سایبری علاوه بر کنترل سیستم ها به منظور دریافت باج، داده ها را به سرقت برده و قربانی را تهدید به انتشار آن ها در صورت عدم پرداخت می کنند. برخی دیگر از مهاجمان فراتر رفته و با مشتریانی که اطلاعات آن ها را به سرقت برده اند تماس گرفته و از آن ها درخواست پرداخت مبلغ می کنند.
به طور کلی، حملات باج افزاری می توانند کل سازمان را برای ساعت ها، روزها و یا حتی بیشتر غیرفعال کنند. جدیدترین تهدیدات باج افزاری به چیزی بیشتر از فرایند بازیابی فعال و بکاپ ایمن نیاز دارند.
محافظت در برابر باج افزارهای اولیه با بکاپ ایمن و فرایند بازیابی فعال میسر می شد. این در حالی است که جدیدترین نسخه های باج افزاری به راهکارهای امنیتی گسترده تری نیاز دارند.
چگونه می توان از حملات باج افزاری جلوگیری کرد؟
با اینکه امروزه حملات باج افزاری بسیار پیچیده شده و به صورت چند مرحله ای در آمده اند، اما خوشبختانه باز هم فرصت متوقف سازی حملات وجود دارد و می توان مانع از دسترسی مهاجمان به داده ها شد.
بدیهی است متوقف سازی مهاجمان سایبری، یک عملکرد کاملا ایده آل است، اما در غیر این صورت نیز، کنترل مراحل اولیه مانند دسترسی به شبکه، ارتباطات command and control، دسترسی به داده ها، جمع آوری داده ها و رمزنگاری داده ها از اهمیت بالایی برخوردار است. در ادامه راهکارهایی برای جلوگیری از حملات باج افزاری و نحوه مقابله با آنها ارائه شده است.
۹ روش برای مقابله با حملات باج افزاری
-
هرگز بر روی لینک های نامعتبر کلیک نکنید.
توصیه می شود بر روی لینک هایی که در ایمیل های اسپم و یا وب سایت های نامعتبر قرار دارند، کلیک نشود. غالبا هکرها از طریق لینک های مخرب، اقدام به انتشار باج افزار می نمایند. هنگامی که بدافزار بر روی سیستم نصب می شود، می تواند داده ها را رمزنگاری نموده، آن ها را ضبط و نگهداری کند و قربانیان تنها با در اختیار داشتن کلید رمزگشایی، می توانند دوباره به داده ها دسترسی پیدا کنند.
لازم به ذکر است رایج ترین راه برای انتشار باج افزار از طریق لینک های مخرب می باشد.
-
اسکن ایمیل ها جهت بررسی بدافزار
متوقف سازی حملات باج افزاری و سایر بدافزارها با اسکن ایمیل ها آغاز می شود. ابزارهای اسکن ایمیل غالبا می توانند نرم افزارهای مخرب را شناسایی کنند. پس از این که اسکنر موفق به شناسایی بدافزار شد، مانع از رسیدن ایمیل به mailbox می شود.
به طور معمول بدافزاری که از طریق ایمیل ارسال می شود به عنوان یک فایل ضمیمه و یا در داخل یک فایل دیگر در ایمیل قرار می گیرد. معمولا هکرها تصاویری ارسال می کنند که به نظر می رسد معتبر است اما با کلیک بر روی آنها، نصب باج افزار شروع می شود. بنابراین اسکن کردن ایمیل ها، تاثیر فراوانی در جلوگیری از آلوده شدن سیستم خواهد داشت.
-
با استفاده از فایروال ها، از endpointها محافظت کنید
فایروال ها را می توان یک راهکار مناسب برای مقابله با حملات باج افزاری در نظر گرفت. آن ها می توانند ترافیک ورودی و خروجی را اسکن نموده و بررسی کنند که آیا شامل بدافزار یا سایر تهدیدات هستند یا خیر.
علاوه بر این، یک فایروال نسل جدید (NGFW) می تواند با استفاده از قابلیت deep packet inspection (DPI)، کل داده ها را بررسی کند که آیا حاوی باج افزار هست یا خیر و اگر هست آن را مسدود کند.
به طور معمول انواع خاصی از ترافیک بیشتر در معرض تهدیدات قرار می گیرند. اما با محافظت از endpointها می توان مانع از سر و کار داشتن دستگاه ها با این دسته از داده ها شد. در ضمن، ممکن است هکرها از اپلیکیشن های مخرب به منظور آلوده سازی endpointها به باج افزار استفاده کنند که محافظت از endpointها مانع از اجرای این اپلیکیشن ها می گردد.
-
فقط از سایت های معتبر دانلود نمایید
روش کار هکرها به این صورت است که بدافزاری را بر روی وب سایت قرار داده و سپس با استفاده از مهندسی اجتماعی، کاربر را ترغیب به کلیک می کنند. به طور معمول مهندسی اجتماعی از طریق فشار وارد آوردن بر روی کاربر، او را وادار به انجام اقدام مورد نظر خود می کند.
در بسیاری از موارد ممکن است خود لینک، معتبر به نظر برسد. بنابراین در صورتی که فردی با سایت آشنایی نداشته باشد و یا URL آن، مشکوک به نظر برسد، بهتر است روی هیچ لینکی کلیک نشود. غالبا مهاجمان سایبری اقدام به ایجاد سایت های جعلی نموده که در ظاهر بسیار شبیه به سایت های اصلی می باشد. توصیه می شود قبل از دانلود کردن از سایت مورد نظر خود، URL آن را بررسی نمایید.
-
از داده های مهم بکاپ تهیه کنید
مهاجمان سایبری تمایل دارند کاربرانی را هدف قرار دهند که به داده های بسیار مهم و حیاتی سازمان، دسترسی دارند. با توجه به این که داده ها نقش بسیار مهمی در عملکرد روزانه ایفا می کنند، ممکن است یک قربانی ترجیح دهد، مبلغ باج را پرداخت کند و به داده ها دوباره دسترسی پیدا کند. اما سازمان ها می توانند با تهیه منظم بکاپ از داده های خود، از این فاجعه جلوگیری کنند.
چنانچه از داده های سازمانی، بکاپ تهیه شده باشد، دیگر نیازی به پرداخت باج نیست و به سادگی می توان داده ها را بازیابی نمود. بنابراین تهیه منظم نسخه بکاپ از اهمیت خاصی برخودار است.
-
هنگام استفاده از Wi-Fi عمومی، از P*N استفاده کنید
استفاده از Wi-Fi های عمومی به دلیل بی نیاز بودن به پسورد بسیار ساده است. از طرفی هکرها نیز به راحتی می توانند باج افزار مورد نظر خود را انتشار دهند. بنابراین توصیه می شود، در صورت استفاده از Wi-Fi های عمومی، از V.P*N نیز استفاده شود.
در حقیقت به هنگام اتصال به اینترنت، VP*Nها اقدام به رمزنگاری داده ها می کنند. به عبارتی یک تونل تشکیل داده و داده ها را از آن عبور می هد. کاربران نیز به منظور وارد شدن به تونل، می بایست کلید رمزنگاری را در اختیار داشته باشند. هکرها حتی برای خواندنِ داده هایی که در تونل جریان می یابند، نیاز به رمزگشایی دارند. در ضمن V.P*Nها برای مسدود سازی باج افزار، از دسترسی سایر افراد به داده ها و قرار دادن بدافزار، جلوگیری به عمل می آورند.
-
از نرم افزارهای امنیتی استفاده کنید
نرم افزارهای امنیتی را می توان به عنوان یک ابزار قدرتمند در جلوگیری از انتشار باج افزار دانست. بنابراین، همیشه به عنوان یکی از بهترین اقدامات برای پیشگیری و جلوگیری از باج افزارها، در نظر گرفته می شود. به طور معمول، نرم افزارهای امنیتی، کلیه ی فایل هایی که از طریق اینترنت وارد سیستم می شوند را بررسی می کند. به محض شناسایی یک فایل مخرب، آن را مسدود می کند.
در ضمن نرم افزارهای امنیتی از پروفایل تهدیدات شناخته شده و انواع فایل های مخرب استفاده می کند تا تشخیص دهد کدام یک ممکن است برای سیستم خطرناک باشد.
-
از USB Flashهای نامطمئن استفاده نکنید
دستگاه Universal Serial Bus (USB) را می توان برای نگهداری فایل های مخرب مورد استفاده قرار داد. ممکن است یک USB بر روی خود، دارای یک فایل اجرایی مخرب باشد و یا ممکن است هنگام اتصال به دستگاه، فایل مخرب اجرا شود.
مجرمان سایبری ممکن است یک دستگاه USB را اطراف خود، رها کنند زیرا می دانند سایرین تشویق به برداشتن آن می شوند. حتی ممکن است یک لیبل چاپ کرده و آن را از طرف یک شرکت معروف و خوشنام، به عنوان هدیه ارسال کنند. بنابراین توصیه می شود هرگز یک USB نامطمئن را در سیستم خود قرار ندهید. تنها USBهایی ایمن هستند که به صورت بسته بندی شده از فروشگاه خریداری شوند.
-
از ارائه اطلاعات شخصی خودداری کنید
مهاجمان سایبری با در اختیار داشتن اطلاعات شخصی افراد می توانند روش های متفاوتی را برای اجرای بدافزار و اخذ باج در پیش گیرند. غالبا افراد از یک پسورد یکسان برای کامپیوتر خود، وب سایت ها و حساب های شان استفاده می کنند. بنابراین مهاجان سایبری می توانند از اطلاعات شخصی برای دسترسی به حساب کاربری استفاده کنند و سپس همان پسورد را برای ورود به سیستم و نصب باج افزار به کار گیرند.
در صورت اجتناب از ارائه اطلاعات شخصی، اعمال این نوع حملات بسیار دشوار می شود. اطلاعات شخصی شامل نام افراد، حیوان خانگی یا مکانی است که یک فرد برای پاسخ به سوالات امنیتی از آن ها استفاده می کنند.
چگونه می توان با حملات باج افزاری مقابله کرد؟
موفقیت آمیز بودن حملات باج افزاری به شبکه و یا کامپیوتر به این معنا نیست که هیچ کاری نمی توان برای بهبود شرایط انجام داد. غالبا می توان با اقدامات سریع و به موقع، تا حد زیادی خسارت های وارده را محدود ساخت.
جداسازی باج افزار
اولین قدمی که باید برداشته شود، جداسازی باج افزار است. این امر مانع از گسترش باج افزار به سایر دستگاه های شبکه می گردد. بهتر است ابتدا سیستم آلوده خاموش شود.
در ضمن باید تمامی کابل های متصل به هر دستگاه جدا شود. منظور از کابل هرچیزی است که دستگاه آلوده را به شبکه یا سایر دستگاه های شبکه متصل نموده است. به عنوان مثال، ممکن است یک دستگاه به پرینتری در شبکه LAN متصل باشد. خاموش کردن پرینتر می توان مانع از انتشار باج افزار شود.
علاوه بر کابل های سخت افزاری، بهتر است Wi-Fiی که منطقه ی آلوده را پوشش می دهد را نیز خاموش کرد. دلیل آن این است که اتصال Wi Fi می تواند به عنوان راهی برای انتشار باج افزار به سایر دستگاه های متصل به همان شبکه Wi-Fi مورد استفاده قرار گیرد.
دستگاه های ذخیره ساز متصل به شبکه نیز باید فورا قطع شوند. باج افزار می تواند تجهیزات ذخیره ساز را پیدا نموده و آن ها را آلوده کند. در صورت بروز این اتفاق، تمامی دستگاه هایی که به سیستم ذخیره سازی متصل هستند نیز ممکن است آلوده شوند. این اتفاق ممکن است بلافاصله و یا با کمی تاخیر انجام شود. بنابراین، در صورتی که قربانی یک حمله باج افزاری شدید، بهتر است فرض کنید همه ی دستگاه های ذخیره ساز آلوده شده اند و پیش از اتصال آن ها به دستگاه های دیگر، اقدامات مربوط به پاکسازی را انجام دهید.
شناسایی باج افزار
مرحله بعد، شناسایی نوع بدافزاری است که سیستم را به باج افزار آلوده ساخته است. در برخی از موارد، آگاهی از نوع بدافزار، به پیدا کردن راهکاری برای مقابله کمک فراوانی می کند. در حال حاضر، کلید رمزگشایی برخی از حملات باج افزاری در دسترس است. بنابراین با دانستن نوع بدافزار و در دسترس بودن کلید رمزگشایی، مقابله با آن بسیار ساده است.
در ضمن، شناخت نوع بدافزار به ما کمک می کند تا بتوانیم راهکارهای دیگری جهت پرداختن به تهدید مورد نظر پیدا کنیم.
حذف بدافزار
رعایت مراحل فوق به ترتیبی که ذکر شده، از اهمیت بالایی برخوردار است. به عنوان مثال اگر حذف بدافزار، در مرحله قبل از جداسازی انجام شود، باج افزار به سایر دستگاه ها منتشر می شود. یا اگر قبل از شناسایی، اقدام به حذف بدافزار شود، ممکن است دیگر فرصتی برای جمع آوری داده ها در خصوص بدافزار و ارائه ی آن ها به مجریان قانون باقی نماند.
بعد از انجام مراحل مذکور، حذف بدافزار می تواند مانع از انتشار آن به سایر دستگاه ها شود. لازم به ذکر است در صورتی که بدافزار با موفقیت حذف نشود، بعد از اتصال مجدد کامپیوتر به شبکه، بدافزار دوباره منتشر خواهد شد.
بازیابی داده ها
به محض مهار حمله و پاکسازی سیستم ها، باید داده ها را بازیابی نمود. این کار به تداوم کسب و کار کمک می کند؛ به خصوص اگر این داده ها، جدیدترین بکاپ باشد.
بازیابی موفقِ داده ها به برنامه ریزی آن بستگی دارد. در صورتی که داده ها، چندین بار در روز بکاپ گیری شوند، در بدترین حالت تنها به اندازه چند ساعت، خسارت وارد می شود. توصیه می شود سازمان ها از خدمات مبتنی بر فضای ابری عمومی یا سخت افزاری در محیط فیزیکی برای بکاپ گیری داده ها استفاده کنند.
هرگز باج درخواستی را به مهاجمان سایبری پرداخت نکنید
زمانی که قربانی یک حمله باج افزاری می شوید، ممکن است پرداخت باج، کار عاقلانه ای به نظر برسد. در واقع یک فرد تصور می کند خسارت های مالی ناشی از حمله، بیشتر از مبلغ درخواستی به عنوان باج خواهد شد. اما حقیقت این نیست.
کار هکرها با اخاذی های موفق تداوم پیدا می کند. چنانچه قربانیان با پرداخت باج موافقت نکنند، به سایر افرادی که ممکن است در آینده هدف مهاجمان قرار گیرند، کمک می کنند. حتی ممکن است یک قربانی با پرداخت باج، دوباره مورد هدف قرار گیرد.
چه زمانی باید باج را به مهاجمان حملات باج افزاری پرداخت کرد؟
به طور کلی بهتر است هرگز در برابر درخواست باج تسلیم نشوید. با پرداخت باج، مهاجمان سایبری می توانند دوباره با هدف شما بازگردند و حتی به جامعه هکرها این پیام ارسال می شود که این حملات، تصمیم درست و موفقیت آمیزی است.
با این حال بهتر است پیش از هر تصمیم گیری، سوالات زیر را از خود بپرسید:
- بازیابی داده ها، چقدر هزینه خواهد داشت؟
- آیا بیمه سایبری می تواند در پرداخت بخشی از هزینه کمک کند؟
- هزینه بازسازی سیستم ها در صورت خسارات وارده، چقدر خواهد بود؟
- احتمال اینکه مهاجم باج افزار پس از دریافت مبلغ مورد نظر، داده ها را رمزگشایی کند، چقدر است؟
فورتی نت چگونه می تواند در مقابله با حملات باج افزاری کمک کند؟
پلتفرم یکپارچه امنیت فورتی نت (Fortinet Security Fabric)، طیف گسترده ای از محصولات و خدمات را ارائه داده که می توانند در حوزه تامین امنیت سایبری مورد استفاده قرار گرفته و احتمال تهدیدات باج افزاری را تا حد زیادی کاهش دهند. بنابراین سازمان ها می توانند ضمن شناسایی و مقابله با تهدیدات باج افزاری، خود را برای خطرات آینده نیز آماده کنند.
با توجه به تهدیدات مختلف، وضعیت لایسنس ها، مهارت های امنیتی و سایر عوامل می توان در نظر گرفت که کدام محصول امنیتی و یا خدمات برای شرایط مختلف سازمان ها مناسب است، اما موارد ذیل، از سوی کمپانی فورتی نت ارائه شده اند:
- آماده سازی: Incident Readiness Service، FortiRecon Attack Surface Management، FortiTester Breach Attack Simulation
- جلوگیری: FortiGate Next-Generation Firewall، FortiMailSecure Email Gateway، FortiWeb Web Application Firewall، FortiEDR Modern Endpoint Security، FortiSandbox Inline Sandbox Analysis
- شناسایی: FortiDeceptor، FortiXDRExtended Detection and Response، FortiNDR Network Detection and Response
- مقابله با تهدیدات: FortiAnalyzer، FortiSIEM، FortiSOAR، FortiGuard Incident Response Service
- ارتقا امنیت: FortiGuard SOCaaS، FortiGuard Managed Detection and Response
دفتر تهران 
ساعات کاری 
