مرکز ماهر ایران با هشدار به کاربران برای بروز رسانی سیستم عامل اعلام کرد:حمله باج افزارها به سرورهای ویندوزی از جمله چندین بیمارستان در هفته های اخیر خسارت های جبران ناپذیری به بار آورده است.
به گزارش پایگاه خبری بورس پرس،مرکز ماهر اعلام کرد: بررسیهای فنی نشان داده در بسیاری از حمله ها مهاجمان با سوء استفاده از دسترسی به سرویس دسترسی از راه دور که در سیستم عامل ویندوز مبتنی بر پروتکل آر.دی.پی( RDP)است وارد شده، آنتی ویروس نصب شده را غیرفعال می کنند و با انتقال فایل باج افزار، اقدام به رمزگزاری فایلهای سرور می کنند و حتی در مواردی، مشاهده شده مهاجمان، با صرف زمان کافی و پس از کسب شناخت و انجام انواع دیگری از سوء استفادههای ممکن، زمان و الگوی انجام پشتیبانگیری از اطلاعات را نیز شناسایی کرده و موفق به انجام حمله های باجافزاری بینقص شدهاند.
مهاجم در این حمله ها، با سوء استفاده از نسخههای آسیبپذیر سرویس( Remote Desktop) رمز عبور ضعیف، تنظیم های ناقص یا بیاحتیاطی در حفاظت از رمز عبور، وارد سرورها میشوند.
این مرکز افزود: برای جلوگیری از وقوع این حمله ها لازم است تا حد امکان، نسبت به مسدود کردن سرویس های غیر ضروری Remote Desktop روی سرورهای در دسترس از طریق شبکه اینترنت اقدام کرد و در صورت ضرورت و غیرقابل اجتناب بودن ارایه این امکان در بستر اینترنت، به دقت موارد زیر را رعایت کرد.فعال بودن دسترسی Remote Desktop به صورت حفاظت نشده در سطح اینترنت، سرور و دادههای شما را به جددر معرض خطر قرار خواهد داد.
اقدام های پیشگیرانه
سیستمعامل مداوم به روز رسانی شده و هوشیاری در خصوص احتمال رخ دادن حمله های جدید و شناسایی آسیبپذیریهای جدید افزایش یابد.
انجام منظم و سختگیرانه پشتیبانگیری از اطلاعات روی تعداد کافی از رسانههای ذخیرهسازی اطلاعات و آزمایش نسخ پشتیبان پس از هر مرتبه پشتیبانگیری ضروری است.
استفاده نکردن از کاربر Administratorبرای دسترسی از راهدور و تعریف یک کاربر جدید با دسترسی محدود شده برای این منظورضروری است.
تنظیم کردن سرورها به شکلی که برای ورود موفق، سقف مشخص و محدودی از تلاشهای ناموفق تعیین شود، سطح قابل قبولی از پیچیدگی برای رمز عبور را الزام کرده و تغییر رمز عبور در بازه زمانی معقولی را اجبار کنید.
انجام این فرآیند در سیستمعاملهای مختلف متفاوت بوده و بسیار ساده اما تاثیر گذار است و سبب پیشگیری از موفقیت بسیاری از حمله ها بر پایه فرهنگ لغت یا دزدیدن رمز عبور میشود.
محدود کردن اجازه استفاده از خدمات دسترسی از راهدور در فایروال به آدرس آیپیهای مشخص در صورت امکان ضروری است همچنین، ایجاد لایههای دفاعی بیشتر با تکیه بر خدماتی چون VPN نیز توصیه می شود.
محدود کردن زمان و ساعت استفاده از خدمات دسترسی از راهدور با استفاده از Group Policy Managerویندوز (محدود کردن دسترسی به ساعت های اداری) یا حتی فعال کردن دسترسی از راه دور فقط در زمان نیاز و غیر فعال کردن آن پس از رفع نیاز ضرورت دارد.
بررسی مداوم و روزانه گزارشهای امنیتی (به خصوص گزارش مربوط به Log-inدر Event-viewerویندوز)، گزارش آنتی ویروس و فایروال، جهت آگاه شدن از مواردی همچون زمان ورود هر کاربر و توجه و واکنش متناسب به موارد غیر متعارف همچون ورود در روزهای یا ساعتهای تعطیل و تلاشهای ناموفق بدافزارها برای دسترسی و آلوده سازی.
دقت مضاعف در زمان استفاده از نام کاربری و گذرواژه برای دسترسی از راه دور، به خصوص در زمانی که برای اتصال از رایانه دیگران استفاده میشود.
انواع Key logger از تروجانها میتوانند با دزدیدن مخفی اطلاعات تایپ شده، دسترسی مهاجمان به سرورها را ممکن کنند، این نوع از حملات به این دلیل که در ناآگاهی کاربر یا مدیر، تمام فرآیند ورود را میبینند، بسیار خطرناک بوده و منشاء اغلب حمله ها با میزان خسارت درشت در ماههای اخیر هستند.
انتهای پیام