چگونه برای مبارزه با حملات باج افزاری آماده شویم؟

باج افزار های مخرب و پرهزینه روزبه‌روز در حال افزایش هستند. در این مقاله، راهبردهایی برای مقابله با حملات باج‌افزاری ارائه شده است.

حملات باج‌افزاری با نرخی تهدید‌‌آمیز روبه‌افزایش هستند. به‌نقل از گزارش نیم‌ساله‌ی Bitdefender در سال ۲۰۲۰، تعداد گزارش‌های باج‌افزاری در سراسر جهان، ۷۱۵ درصد افزایش یافته است. ایالات متحده‌ی آمریکا ازنظر تعداد حملات در رتبه‌ی اول و بریتانیا در رتبه‌ی دوم قرار دارند.

حمله‌ی باج‌افزاری باعث رمزنگاری فایل‌ها و داده‌ها به‌گونه‌ای می‌شود که دیگر نتوانید با آن‌ها کار کنید. برای بازگشت سیستم به حالت عملیاتی عادی، باید کامپیوتر و سیستم خود را کاملا پاک‌سازی و با بکاپ آن را بازیابی کنید یا از کلید رمزگشایی برای بازکردن قفل فایل‌ها و داده‌هایتان استفاده کنید. برای دریافت کلید رمزگشایی باید باج بدهید. باج‌افزار آثار مخربی بر عملکرد کسب‌و‌کار می‌گذارد و حتی می‌تواند به ازبین‌رفتن دائمی داده‌ها منجر شود. باج‌افزار این مشکلات را به‌وجود می‌آورد:

• ازکارافتادگی کسب‌و‌کار
• ازبین‌رفتن بهره‌وری
• ازبین‌رفتن درآمد
• ازبین‌رفتن اعتبار
• ازبین‌رفتن یا نابودی یا انتشار عمومی اطلاعات حساس تجاری

اگر بخواهید باج بدهید، هزینه‌هایتان افزایش می‌یابند و ممکن است پس از حمله‌ی بدافزارها به قوت خود باقی بمانند. شاید فکر کنید این اتفاق برایتان رخ نمی‌دهد یا خود را این گونه قانع کنید که بسیار کوچک هستید و هکرها صرفا گزینه‌های بهتر و بزرگ‌تری را هدف قرار می‌دهند یا چرا باید خود را به‌خاطر شرکتی مثل شما آزار دهند. متأسفانه این تصورات حقیقت ندارند.

همه هدف حمله هستند. از میان روش‌های مختلف، ایمیل مکانیزم شماره‌ی یک انتقال باج‌افزار است. حملات فیشینگ از فهرست ایمیل‌هایی با میلیون‌ها ورودی استفاده می‌کنند. کل آدرس‌های ایمیل قربانی در دَه سال گذشته در فضای دارک‌وب موجود هستند. آدرس‌های ایمیل‌ جدید هم روزانه با نفوذ و حمله مواجه و به فهرست‌ یادشده اضافه می‌شوند. تمام این آدرس‌ها، ایمیل‌های فیشینگ را دریافت می‌کنند و نفوذکنندگان اهمیتی نمی‌دهند که ایمیل‌ها به چه افرادی متعلق هستند.

تعداد کمی از حملات باج‌افزاری به‌صورت هدفمند اجرا می‌شوند و درحدود ۹۹ درصد از حملات قربانی را ردیابی یا شناسایی نمی‌کنند. باج‌گیرندگان لزوما تک‌تیراندازهای مخفی نیستند؛ بلکه شکارچیان ماشینی هستند که بدون هدف قربانی می‌گیرند. آن‌ها ایمیل‌های خود را پخش می‌کنند و سپس منتظر فرصت حمله می‌مانند.

مجرمان سایبری یا همان نفوذکنندگان در ازای دریافت باج، کلید رمزگشایی داده‌ها را به کاربر می‌دهند. باج معمولا به‌صورت رمزارز بیت‌کوین پرداخت می‌شود؛ گرچه نفوذگران بر سر رمزارزهای دیگر هم توافق دارند. براساس CoinMarketCap، آمار رمزارزهای فعال به ۷۵۰۰ نوع می‌رسد.

گرچه معامله براساس بیت‌کوین نسبتا آسان است، دریافت کیف‌پول الکترونیکی و طی مراحل لازم ممکن است چند روز به‌طول بینجامد. در این دوره، امکان راه‌اندازی کسب‌و‌کار یا حداقل اجرای عملیات بهینه وجود ندارد. حتی اگر باجی پرداخت شود، تضمینی برای بازگشت داده‌ها وجود ندارد. سمت رمزگشایی باج‌افزار معمولا ساختار بدی دارد و ممکن است برایتان کار نکند. حتی اگر بتوانید فایل‌ها را رمزگشایی کنید، باز‌هم با بدافزاهایی مثل روتکیت‌ها و تروجان‌های ریموت و کی لاگرها روبه‌رو می‌شوید. بنابراین، باج‌دادن به‌ویژه بر‌اساس رمزارز می‌تواند بیش از چند روز طول بکشد و سیستمتان حتی پس از رمزگشایی پاک نشود؛ بنابراین، بهتر است سیستم خود را از پشتیبان بازیابی کنید. در کشورهایی مثل بریتانیا و ایالات متحده، به‌شدت توصیه می‌شود باجی نپردازید.

بازیابی از پشتیبان نیز چندان سریع نیست و فقط در‌صورتی امکان‌پذیر است که از روال پشتیبانی پایدار استفاده کنید. علاوه‌بر‌این، نفوذکنندگانی که پشت باج‌افزارهای پیچیده قرار دارند، می‌توانند به روش‌های مختلف پشتیبان‌ها را هم آلوده کنند. حتی ممکن است پس از پاک‌سازی و بازیابی سرور و کامپیوتر، باز‌هم آلوده باشید. بااین‌همه، پشتیبان‌گیری بهترین راه است؛ اما باید از پشتیبان خود به‌گونه‌ای محافظت کنید که در‌صورت نیاز، یکپارچگی داده‌ها را حفظ کنند.

هکرها بیت‌کوین را به‌عنوان باج دریافت می‌کنند.

هیچ‌کس در محیط کار به‌دنبال حادثه نیست؛ اما از جعبه‌ی کمک‌های اولیه غافل نمی‌شود. بله، پیشگیری در هر شرایطی بهتر از درمان است؛ اما باز‌هم باید جعبه‌ی کمک‌های اولیه را داشته باشید. همین موضوع برای امنیت سایبری صدق می‌کند. هیچ‌کس نمی‌خواهد با حمله‌ی باج‌افزار روبه‌رو شود و بهتر است اقدامات پیشگیرانه‌ی لازم را انجام داد و برنامه‌ای هم برای عکس‌العمل مناسب دربرابر حوادث احتمالی باید داشت. در این وضعیت، به گروهی از افراد نیاز دارید که با برنامه آشنا باشند و آن را تمرین و دنبال کنند.

حتی یک لحظه هم نباید از برنامه غافل شوید و براساس روشی هدفمند و هماهنگ، باید به حادثه واکنش نشان دهید؛ زیرا تنها با دنبال‌کردن برنامه می‌توانید به این هدف برسید. تمام افراد بیمه‌ی خودرو دارند و امیدواریم هرگز از آن استفاده نکنند. برنامه‌ی واکنش به حادثه هم به‌همین‌ترتیب است. به آن نیاز دارید؛ اما ممکن است در موقعیتی قرار نگیرید که به پیاده‌سازی آن نیاز باشد. نگه‌داری از خودرو و اجازه به افراد آموزش‌دیده برای استفاده از آن، احتمال تصادف را کاهش می‌دهد. در‌ادامه نکاتی برای کاهش ریسک حادثه و پیاده‌سازی برنامه‌ی واکنش به حادثه ارائه داده‌ایم.

اغلب حملات باج‌افزاری به‌دلیل حملات فیشینگ رخ می‌دهند. کارمندان خط‌مقدم ایمیل‌ها هستند؛ چراکه روزانه با ایمیل‌ها و پیوست‌های زیادی روبه‌رو می‌شوند که گاهی تعداد آن‌ها به صدها ایمیل می‌رسد. تنها یک ایمیل فیشینگ برای آلوده‌شدن سیستم‌ها و نفوذ به آن‌ها کافی است. واضح است کارکنان باید آموزش کافی در زمینه‌ی امنیت سایبری دیده باشند و بتوانند ایمیل‌های فیشینگ و دیگر تهدیدهای ایمیلی را شناسایی کنند.

این مسئله به‌صورت دوره‌ای باید بررسی شود و باج‌افزارها در فهرست ارزیابی ریسک امنیت سایبری قرار بگیرند و آموزش کارکنان هم یکی از اقدامات پیشگیرانه با هدف مبارزه با حملات باج‌افزاری در نظر گرفته شوند. یکی از روش‌ها برای کاهش حجم ایمیل‌ها استفاده از سیستم ایمیل داخلی است. تعداد ایمیل‌های داخلی کمتر هستند و بدین‌ترتیب، تمرکز بر ایمیل‌های خارجی ساده‌تر خواهد شد. گفتنی است ایمیل‌های خارجی معمولا حامل ریسک هستند.

آموزش درکنار آزمایش نتیجه‌بخش است. یافتن سرویس آنلاین یا سازمانی امنیتی برای راه‌اندازی کمپین فیشینگ خوش‌خیم کار ساده‌ای است. کارمندانی که در تشخیص ایمیل‌های فیشینگ به‌درستی عمل نمی‌کنند، به گذراندن جلسه‌ای‌ آموزشی ملزم می‌شوند. بدین‌ترتیب، علاوه‌بر ارزیابی آسیب‌پذیری کارکنان دربرابر ایمیل‌های فیشینگ، می‌توان اثربخشی آموزش را هم بررسی کرد.

مطمئن شوید فرایندها و کاربرها از حداقل حقوق دسترسی برای اجرای عملیات تعریف‌شده برخوردار هستند. اصل حداقل مزیت آسیب‌های بدافزاری را محدود می‌کند. همچنین، سعی کنید دسترسی به حساب‌های ادمین را محدود کنید و مطمئن شوید این حساب‌ها به‌جز عملیات ادمین کاربرد دیگری ندارند. افزون‌براین، دسترسی به اشتراک‌گذاری‌ها و سرورها را به‌گونه‌ای کنترل کنید که افراد فاقد نقش و مسئولیت، امکان دسترسی به بخش‌های حساس را نداشته باشند.

فیلترهای اسپم کل ایمیل‌های بد را تشخیص نمی‌دهند؛ اما حداقل می‌توانند بخشی از آن‌ها را به‌دام بیندازند. آن‌ها بخش‌ زیادی از اسپم‌های ایمن، اما آزاردهنده و تکراری را کشف و قرنطینه می‌کنند. بدین‌ترتیب، حجم ایمیل‌ها کاهش می‌یابد. کاهش حجم کاه یافتن سوزن را آسان می‌کند.

آنتی‌ویروس‌‌ها و بسته‌های ضدبدافزار یا ترکیبی از بسته‌های محافظتی را باید پیاده‌سازی و آن‌ها را مرتب تنظیم و به‌روزرسانی کرد. کاربران نباید به‌روزرسانی‌های را نادیده بگیرند یا به‌تعویق بیندازند.

سیستم‌‌‌عامل‌ها و میان‌افزارها و اپلیکیشن‌ها باید در چرخه‌ی پشتیبانی تولید‌کننده قرار داشته باشند و به‌صورت مرتبط با بسته‌های به‌روزرسانی رفع باگ و امنیتی به‌روز شوند. اگر هر‌کدام از این برنامه‌ها بسته‌ی به‌روزرسانی نداشته باشند، باید استفاده از آن‌ها را متوقف کنید.

غیر از شبکه‌های ساده، شبکه‌های خود را باید تقسیم‌بندی و کامپیوترها و تیم‌های ضروری را جدا کنید. بدین‌ترتیب، بخش‌های حیاتی شبکه از نفوذ در امان می‌مانند و به‌‌نوعی عایق می‌شوند. از توپولوژی شبکه با بخش‌های تفکیک‌شده برای محدود‌کردن توزیع بدافزار استفاده کنید. مدیریت بخش آلوده از کل شبکه آسان‌تر است.

پشتیبان‌ها یا بکاپ‌ها هسته‌ی اصلی برنامه‌ی تداوم کسب‌و‌کار پایدار هستند. برای پشتیبان‌گیری از طرحی باید استفاده کنید که با بحران‌های پیش‌بینی‌شدنی، از‌جمله حملات سایبری تطبیق پیدا کند. دستورالعمل قدیمی بکاپ از سه قانون تشکیل شده است:

• تهیه‌ی سه کپی از داده‌ها: سیستم و دو پشتیبان
• دو پشتیبان باید روی واسطه‌های مختلف قرار داشته باشند
• یکی از پشتیبان‌ها خارج از سازمان نگه‌داری شوند

به‌بیان‌ساده، داشتن صرفا یک کپی از داده‌ها برای پشتیبان‌گیری کافی نیست. این، بهتر از هیچ است؛ اما پشتیبان‌‌گیری اهمیت زیادی دارد و تنها راهکاری است که با هر بودجه‌ای می‌توانید برای امنیت خود انجام دهید. پشتیبان واقعی با نرم‌افزار پشتیبان‌گیری انجام می‌شود که قابلیت‌ نسخه‌بندی دارد. با نسخه‌بندی می‌توانند فایل خود را بر‌اساس نقطه‌ی مشخصی از زمان بازیابی کنید. برای مثال، می‌توانید فایل را در وضعیت دیروز یا هفته‌ یا ماه گذشته بازیابی کنید. براساس ظرفیت و دوره‌ی نگه‌داری حافظه‌ی بکاپ می‌توانید به زمان مدنظر خود در گذشته بازگردید.

با رعایت اصول سه‌گانه‌ی بکاپ می‌تواند به‌راحتی داده‌ها را پس از حمله بازیابی کرد.

پشتیبان‌ها به رمزنگاری نیاز دارند. پشتیبان‌های مبتنی‌بر ایمیج، ایمیجی از کل هارددرایو از‌جمله عملیات آن تهیه می‌کنند. تغییرات سیستم لایو را می‌توان در هر چند دقیقه به ایمیج بکاپ منتقل کرد؛ درنتیجه بکاپ مانند تصویری آنی و فوری از سیستم‌ عمل می‌کند. این استراتژی ایمیج بکاپ را به ایمیجی از ماشین مجازی تبدیل می‌کند. بدین‌ترتیب در‌صورت وقوع حادثه، می‌توان ماشین مجازی را روی سخت‌افزاری جدید راه‌اندازی کرد و سخت‌افزار سرور جدید را پیاده‌سازی و بر مشکلات سیستم لایو غلبه کرد.

پشتیبان به‌صورت سیستم لایو اجرا می‌شود و شرکت می‌تواند به فعالیت‌هایش ادامه دهد؛ البته گزینه‌‌ای هم برای پشتیبان‌گیری خارج از محل وجود دارد. بدین‌ترتیب، می‌توانید بکاپ خود را در موقعیتی امن در ساختمانی دیگر نگه‌داری کنید. با داشتن چند بکاپ که در موقعیت‌های مختلف توزیع شده‌اند و روی دستگاه‌های سخت‌افزاری متفاوت ذخیره شده‌اند، می‌توانید خیال خود را راحت کنید.

اگر نفوذگران بخواهند بکاپ‌ها را آلوده کنند، باز‌هم می‌توانند به تمام مراحل مذکور نفوذ کنند. برای مثال، اگر باج‌افزاری تأخیری ۲۸ روزه داشته باشد و شما در این مدت چند‌بار از داده‌های خود بکاپ گرفته باشید، این باج‌افزارها در تمام داده‌ها توزیع می‌شوند. برای مقابله با این اتفاق، می‌توان از بکاپ‌های تغییرناپذیر استفاده کرد. این بکاپ‌ها نوشتنی نیستند؛ درنتیجه هیچ باج‌افزار یا بدافزاری نمی‌تواند آن‌ها را آلوده کند. استراتژی پایدار بکاپ از رویکردی لایه‌ای و متنوع استفاده می‌کند.

براساس اندازه و پیچیدگی شبکه، هزینه‌ی بکاپ هم افزایش می‌یابد؛ اما در‌مقایسه‌با هزینه‌ی خرابی‌ها، کم‌هزینه است. ازاین‌رو، به بکاپ به‌عنوان هزینه فکر نکنید؛ بلکه آن را سرمایه‌گذاری روی تداوم کسب‌وکار خود در نظر بگیرید.

برنامه‌ی واکنش به حادثه ابزاری حیاتی برای تضمین پاسخ‌های هماهنگ و بهینه به حوادث سایبری است و براساس فعالیت‌های سازمان می‌تواند اجباری باشد. برنامه‌ی واکنش به حادثه معمولا از بخش‌های زیر تشکیل شده است که هرکدام باید دقیق و کامل باشند:

•  آماده‌سازی: در این مرحله، کل نکات ذکر‌شده همراه‌با استراتژی‌های دفاعی دیگر قرار دارند. با اجرای برنامه، می‌توانید آشنایی تیم خود را افزایش دهید و نواقص و مشکلات را شناسایی کنید. هرچه آمادگی بیشتری داشته باشید، بهتر عمل خواهید کرد.
• شناسایی: در این مرحله، فرایند تشخیص حادثه و شناسایی نوع حادثه اجرا می‌شود. باید تلاش کنید به این پرسش‌ها پاسخ دهید: چه اتفاقی در حال رخ‌دادن است؟ چه کسی و چه چیزی تحت‌تأثیر قرار خواهد گرفت؟ حوزه‌ی مشکل کجاست؟
• سد نفوذ: در این مرحله، عامل نفوذ کشف و از گسترش آن جلوگیری می‌شود. سپس، سیستم‌های آلوده قرنطینه می‌شوند.
• ریشه‌کن‌کردن مشکل: در این مرحله، سیستم‌های‌ آلوده باید پاک‌سازی شوند. مطمئن شوید بدافزارها از کل ماشین‌های آسیب‌پذیر حذف شده‌اند؛ پس، بسته‌های به‌روزرسانی و مراحل امنیتی لازم را اعمال کنید.
• بازیابی: در این مرحله، باید مشخص کنید کدام سیستم‌ها در اولویت دریافت خدمت هستند. بازیابی از بکاپ و تغییر مشخصات احراز‌هویت برای تمام حساب‌ها ضروری است. در‌صورت امکان، با بکاپ‌های تغییرناپذیر بازیابی را انجام دهید؛ در‌غیر‌این‌صورت، قبل از بازیابی بررسی کنید بکاپ‌ها بدافزار نداشته باشند.
• درس‌ها: آلودگی چگونه رخ داد و چگونه از آن جلوگیری کردید؟ آیا آسیب‌پذیری غیرعمدی بود یا حاصل خطای انسانی؟ چه مراحلی را برای حفظ امنیت خود انجام دادید؟

فراموش نکنید حمله‌ی باج‌افزاری جرم است و آن را حتما گزارش کنید. در اروپا، حمله‌ی باج‌افزاری بر‌اساس قوانین عمومی محافظت از داده‌ها یکی از حملات نفوذ داده‌ای در نظر گرفته می‌شود؛ حتی اگر هیچ داده‌ای دزدیده یا نابود نشود، این حملات جرم به‌حساب می‌آیند.