چرایی حمله باج‌افزاری به یکی از زیرساخت‌های کشور

مرکز مدیریت راهبردی افتای ریاست جمهوری اعلام کرد: بررسی‌های اولیه در آزمایشگاه این مرکز نشان می‌دهد که مبدأ اصلی حمله اخیر باج‌افزاری، اجرای یک کد پاورشل از روی یکی از سرورهای DC سازمان بوده است.
به‌گزارش «ایران»، در پی بروز یک حادثه باج‌افزاری در یکی از زیرساخت‌های حیاتی در ماه گذشته، تیم پاسخ به حادثه مرکز افتا ضمن حضور در محل این سازمان و بررسی شواهد حادثه، به کمک کارشناسان همان سازمان، اقدامات لازم را برای مدیریت حادثه انجام داده است.
اقدامات مهاجمان به ‌گونه‌ای بوده است که بعضی از فایل‌های اکثر کلاینت‌ها و سرورهای متصل به دامنه، دچار تغییر شده‌اند به نحوی که برخی از فایل‌ها فقط پسوندشان تغییر یافته، برخی دیگر فقط بخشی از فایل و بعضی دیگر به‌طور کامل رمزگذاری شده‌اند.
بررسی‌های اولیه در آزمایشگاه مرکز افتا نشان می‌دهد که مبدأ اصلی حملات، اجرای یک کد پاورشل از روی یکی از سرورهای DC سازمان بوده است. اما هنوز نحوه نفوذ به این سرورها مشخص نیست ولی شواهدی مبنی بر سوء‌استفاده از آسیب‌پذیری Zero logon در سرورها
وجود دارد.
این حمله به‌صورت File-less انجام شده است و در حقیقت هیچ فایلی روی سیستم‌های قربانیان اجرا نشده و تمام عملیات مخرب توسط اجرای یک کد پاورشل از راه دور انجام شده است.
مهاجمان سایبری تنها بخشی از فایل‌ها را رمزگذاری وهمین فایل‌ها را در کمترین زمان تخریب کرده‌اند و برای جلوگیری از ایجاد اختلال در عملکرد خود سیستم‌عامل، بخشی از فایل‌ها و مسیرهای خاص در فرآیند رمزگذاری درنظر نگرفته‌اند.
در این حمله باج افزاری، به دلایل مختلف همچون عدم جلوگیری از فرآیند رمزگذاری، چند برنامه‌ کاربردی حذف یا غیرفعال و برای جلوگیری از بازگرداندن فایل‌های قربانی، Shadow-Copy و Restore-Point سامانه مربوط، پاک می‌شود.
مهاجمان در پوشه‌هایی که فایل‌های آن رمزنگاری شده‌اند، فایلی را به‌نام Readme.READ ایجاد کردند که حاوی آدرس‌های ایمیل آنهاست.
کارشناسان واحد امداد مرکز مدیریت راهبردی افتا، برای مقابله با اینگونه باج افزارها توصیه می‌کنند حتماً کلاینت‌های کاری پس از اتمام ساعات کاری خاموش شوند واتصال پاور آنها قطع شود.
غیرفعال کردن اجرای کد از راه دور با ابزارهایی مانند Power shell/PsExec و همچنین سیگنال(Wake-on-LAN (WoL در BIOS/UEFI از دیگر توصیه‌های امنیتی برای مقابله با این گونه باج افزارها عنوان شده است.
کارشناسان واحد امداد افتا همچنین از مسئولان و کارشناسان آی تی، خواسته‌اند تا برای جلوگیری از ارسال فرمان WOL در شبکه، پور‌ت‌های ۷ و ۹ UDP را ببندند.
مشروح بررسی تحلیلی و فنی این باج افزاربه همراه مستندات لازم، در سایت مرکز افتا به آدرس afta.gov.ir/portal/home/?news/235046/237267/242131 منتشر شده است.