مرکز ماهر در اطلاعیهای اعلام کرد حملات باج افزارها به سامانههای بیمارستانی کشور، خسارات جبرانناپذیری را به بار آورده است.
در اطلاعیه مرکز ماهر آمده است: در هفته های اخیر، گزارشات متعددی از حمله باج افزارها به سرورهای ویندوزی ازجمله چندین سامانه بیمارستانی در کشور واصل شده است که خسارات جبران ناپذیری به بار آورده است. بررسی های فنی نشان داده که در بسیاری از این حملات، مهاجمان با سوءاستفاده از دسترسی به سرویس دسترسی از راه دور در سیستم عامل ویندوز که مبتنی بر پروتکل RDP است، وارد شده، آنتی ویروس نصب شده را غیرفعال می کنند و با انتقال فایل باج افزار، اقدام به رمزگزاری فایل های سرور می کنند. حتی در مواردی، مشاهده شده است که مهاجمان، با صرف زمان کافی و پس از کسب شناخت و انجام انواع دیگری از سوء استفاده های ممکن، زمان و الگوی انجام پشتیبان گیری از اطلاعات را نیز شناسایی کرده و موفق به انجام حملات باج افزاری بی نقص شده اند.
براساس این گزارش در این حملات، مهاجم با سوء استفاده از نسخه های آسیب پذیر سرویس Remote Desktop ، رمز عبور ضعیف، تنظیمات ناقص یا بی احتیاطی در حفاظت از رمز عبور، وارد سرورها می شوند. به منظور جلوگیری از وقوع این حملات لازم است که تا حد امکان، نسبت به مسدود کردن سرویس های غیر ضروری Remote Desktop روی سرورهای در دسترس از طریق شبکه اینترنت اقدام کرد و در صورت ضرورت و غیرقابل اجتناب بودن ارایه این امکان در بستر اینترنت، به دقت مواردی را که در این گزارش توصیه می شود، رعایت کرد. همچنین یادآور می شود که فعال بودن دسترسی Remote Desktop به صورت حفاظت نشده در سطح اینترنت، سرور و داده ها را جدا در معرض خطر قرار خواهد داد.
پیشنهادات مرکز ماهر
مرکز ماهر به کاربران و سازمان ها توصیه کرد حتما این موارد را رعایت کنند:
۱- به روزرسانی مداوم سیستم عامل و هوشیاری از احتمال رخداد حملات جدید و شناسایی آسیب پذیری های جدید.
۲- انجام منظم و سخت گیرانه پشتیبان گیری از اطلاعات روی تعداد کافی از رسانه های ذخیره سازی اطلاعات و آزمایش نسخ پشتیبان پس از هر مرتبه پشتیبان گیری.
۳- عدم استفاده از کاربر Administrator برای دسترسی از راه دور و تعریف یک کاربر جدید با دسترسی محدود شده برای این منظور.
۴- تنظیم سرورها به شکلی که برای ورود موفق، سقف مشخص و محدودی از تلاش های ناموفق تعیین شود، سطح قابل قبولی از پیچیدگی برای رمز عبور را الزام کند و تغییر رمز عبور در بازه زمانی معقولی را اجبار کند. این فرآیند در سیستم عامل های مختلف متفاوت بوده و بسیار ساده اما تاثیر گذار است و سبب پیشگیری از موفقیت بسیاری از حملات بر پایه دیکشنری یا دزدیدن رمز عبور می شود.
۵- در صورت امکان، محدود کردن اجازه استفاده از خدمات دسترسی از راه دور در فایروال به آدرس آی پی های مشخص. همچنین، ایجاد لایه های دفاعی بیشتر با تکیه بر خدماتی چون VPN.
۶- محدود کردن زمان و ساعت استفاده از خدمات دسترسی از راه دور با استفاده از Group Policy Manager ویندوز. (مثلا محدود کردن دسترسی به ساعات اداری) یا حتی فعال کردن دسترسی از راه دور فقط در زمان نیاز و غیر فعال کردن آن پس از رفع نیاز.
۷- بررسی مداوم و روزانه گزارش های امنیتی (مخصوصا گزارش مربوط به Log-in در Event-viewer ویندوز)، گزارش آنتی ویروس و فایروال، جهت آگاه شدن از مواردی چون زمان ورود هر کاربر و توجه و واکنش متناسب به موارد غیر متعارف همچون ورود در روزها یا ساعت های تعطیل و تلاش های ناموفق بدافزارها برای دسترسی و آلوده سازی.
۸- دقت مضاعف در زمان استفاده از نام کاربری و گذرواژه برای دسترسی از راه دور، مخصوصا در زمانی که برای اتصال از رایانه دیگران استفاده می شود. انواع Key logger از تروجان ها می توانند با دزدیدن مخفی اطلاعات تایپ شده، دسترسی مهاجمان را به سرورها ممکن کنند. این نوع از حملات به این دلیل که در ناآگاهی کاربر یا مدیر، تمام فرآیند ورود را می بینند، بسیار خطرناک بوده و منشاء اغلب حملات با میزان خسارت درشت در ماه های اخیر هستند.