مرکز مدیریت راهبردی افتا، اعلام کرد: بررسیهای اولیه در آزمایشگاه این مرکز نشان میدهد که مبدا اصلی حمله اخیر باجافزاری، اجرای یک کد پاورشل از روی یکی از سرورهای DC بوده است.
به گزارش پایداری ملی به نقل از مرکز مدیریت راهبردی افتای ریاست جمهوری، در پی بروز یک حادثه باجافزاری در یکی از زیرساختهای حیاتی در ماه گذشته، تیم پاسخ به حادثه مرکز افتا ضمن حضور در محل این سازمان و بررسی شواهد حادثه، به کمک کارشناسان همان سازمان، اقدامات لازم را برای مدیریت حادثه انجام داده است.
اقدامات مهاجمین به گونهای بوده است که بعضی از فایلهایِ اکثر کلاینتها و سرورهای متصل به دامنه، دچار تغییر شدهاند به نحوی که برخی از فایلها فقط پسوندشان تغییر یافته، برخی دیگر فقط بخشی از فایل و بعضی دیگر بطور کامل رمز شدهاند.
بررسیهای اولیه در آزمایشگاه مرکز افتا نشان میدهد که مبدا اصلی حملات، اجرای یک کد پاورشل از روی یکی از سرورهای DC سازمان بوده است. اما هنوز نحوه نفوذ به این سرورها مشخص نیست ولی شواهدی مبنی بر سوءاستفاده از آسیب پذیری Zero logon در سرورها وجود دارد.
این حمله به صورت File-less انجام شده است و در حقیقت هیچ فایلی روی سیستمهای قربانیان اجرا نشده و تمام عملیات مخرب توسط اجرای یک کد پاورشل از راه دور انجام شده است.
مهاجمان سایبری تنها بخشی از فایلها را رمزگذاری و همین فایلها را در کمترین زمان تخریب کردهاند و برای جلوگیری از ایجاد اختلال در عملکرد خود سیستمعامل، بخشی از فایلها و مسیرهای خاص در فرایند رمزگذاری درنظر نگرفتهاند.
در این حمله باج افزاری، به دلایل مختلف همچون عدم جلوگیری از فرایند رمزگذاری، چند برنامه کاربردی حذف و یا غیرفعال و برای جلوگیری از بازگرداندن فایلهای قربانی، Shadow-Copy و Restore-Point سامانه مربوط، پاک میشود.
مهاجمین در پوشههایی که فایلهای آن رمزنگاری شدهاند، فایلی را به نام Readme.READ ایجاد کردند که حاوی آدرسهای ایمیل آنها است.
کارشناسان واحد امداد مرکز مدیریت راهبردی افتا، برای مقابله با اینگونه باج افزارها توصیه میکنند حتماً کلاینتهای کاری پس از اتمام ساعات کاری خاموش شوند و اتصال پاور آنها قطع شود.
غیرفعال کردن اجرای کد از راه دور با ابزارهایی مانند Powershell/PsExec و همچنین سیگنال Wake-on-LAN ) WoL) در BIOS/UEFI از دیگر توصیههای امنیتی برای مقابله با این گونه باج افزارها عنوان شده است.
کارشناسان واحد امداد افتا همچنین از مسئولان و کارشناسان آی تی خواسته اند تا برای جلوگیری از ارسال فرمان WOL در شبکه، پورتهای ۷ و ۹ UDP را ببندند.
برای جلوگیری از سوءاستفاده بدافزارها، مقاوم سازی و به روزرسانی سرویسهای AD و DC توصیه میشود و باید برای شناسایی هر گونه ناهنجاری، بصورت دورهای لاگهای ویندوز بررسی شوند.
مرکز مدیریت راهبردی افتای ریاست جمهوری، پشتیبان گیری منظم و انتقال فایلهای پشتیبان را به خارج از شبکه، از دیگر راههای مقابله با هر نوع باج افزاری عنوان میکند و از همه مسئولان و کارشناسان آی تی زیرساختهای کشور خواسته است تا همه این توصیهها را به دقت انجام دهند.
مشروح بررسی تحلیلی و فنی این باج افزار به همراه مستندات لازم، در سایت مرکز افتا به آدرس https://afta.gov.ir/portal/home/?news/۲۳۵۰۴۶/۲۳۷۲۶۷/۲۴۲۱۳۱ منتشر شده است.