باج‌افزار کرملین

باج‌افزار یکی از مخرب‌ترین انواع بدافزار است: بی‌سروصدا فایل‌ها را در اختیار می‌گیرد، دسترسی قانونی را مسدود می‌کند و قربانیان را مجبور به مذاکره‌ای می‌کند که در آن بازنده هستند. محافظت از دستگاه‌ها و شبکه‌ها نه تنها برای حفظ داده‌های شخصی و تجاری، بلکه برای جلوگیری از اختلال، ضرر مالی و به خطر افتادن شبکه در مقیاس وسیع‌تر نیز ضروری است.

تهدید کرملین در یک نگاه

کرملین (KREMLIN) یک خانواده باج‌افزار است که در حین بررسی یک نمونه بدافزار خطرناک کشف شد. رفتار آن سرراست و بی‌رحمانه است: فایل‌های قربانیان را رمزگذاری می‌کند و پسوند '.KREMLIN' را اضافه می‌کند (برای مثال، '1.png' → '1.png.KREMLIN'، '2.pdf' → '2.pdf.KREMLIN') و یک یادداشت باج‌خواهی README.txt قرار می‌دهد که به قربانیان دستور می‌دهد از طریق تلگرام به آدرس @KremlinRestore با مهاجمان تماس بگیرند. این یادداشت نقطه ورود مهاجمان برای مذاکره در مورد پرداخت و ارائه جزئیات ارز دیجیتال است. بازیابی فایل‌ها بدون ابزارهای رمزگشایی مهاجمان به ندرت امکان‌پذیر است، به همین دلیل پیشگیری خوب و پشتیبان‌گیری‌های مقاوم بسیار مهم هستند.

کرملین چگونه عمل می‌کند؟

پس از اجرای موفقیت‌آمیز، کرم کرملین فایل‌های داده کاربر را فهرست و رمزگذاری می‌کند و نام آنها را به پسوند «.KREMLIN» تغییر می‌دهد. این بدافزار یک فایل متنی حاوی دستورالعمل‌های باج‌گیری و اطلاعات تماس باقی می‌گذارد که قربانیان را به مهاجمان در تلگرام هدایت می‌کند. سپس مهاجمان معمولاً دستورالعمل‌های پرداخت (کیف پول ارز دیجیتال، مبلغ) را ارائه می‌دهند. اگر باج‌افزار در سیستم باقی بماند، ممکن است به رمزگذاری فایل‌های اضافی ادامه دهد یا سعی کند به میزبان‌های دیگر در همان شبکه گسترش یابد.

بردارهای رایج انتقال و انتشار

عوامل تهدید از طیف گسترده‌ای از تکنیک‌های مهندسی اجتماعی و توزیع برای ارائه باج‌افزارهایی مانند KREMLIN استفاده می‌کنند. بردارهای معمول شامل برنامه‌های کاربردی غیرقانونی، ابزارهای کرک و تولیدکننده‌های کلید، پیوست‌ها و پیوندهای ایمیل مخرب یا جعلی (اسناد آفیس، فایل‌های PDF، بایگانی‌های مخرب)، کلاهبرداری‌های پشتیبانی فنی، سوءاستفاده از آسیب‌پذیری‌های نرم‌افزاری اصلاح نشده، دستگاه‌های USB آلوده، سایت‌های دانلود غیررسمی یا آسیب‌پذیر، شبکه‌های P2P، تبلیغات مخرب و دانلودکننده‌های شخص ثالث هستند. مهاجمان اغلب فایل‌های اجرایی را در داخل اسناد یا بایگانی‌ها بسته‌بندی یا پنهان می‌کنند تا کاربران فریب بخورند و آنها را اجرا کنند.

چرا پرداخت جریمه توصیه نمی‌شود و قربانیان باید چه انتظاری داشته باشند؟

پرداخت باج، بازیابی داده‌ها را تضمین نمی‌کند: مهاجمان ممکن است رمزگشای کارآمدی ارائه ندهند، ممکن است درخواست پرداخت‌های اضافی کنند یا ممکن است به سادگی ناپدید شوند. پرداخت همچنین فعالیت‌های مجرمانه را تقویت می‌کند و احتمال هدف قرار گرفتن در آینده را افزایش می‌دهد. سازمان‌هایی که پشتیبان‌های قابل اعتماد و آزمایش‌شده دارند، بهترین شانس را برای بازیابی کامل بدون پرداخت دارند. صرف نظر از اینکه آیا فایل‌ها در نهایت بازیابی می‌شوند یا خیر، حذف باج‌افزار از سیستم‌های آلوده ضروری است - در غیر این صورت ممکن است فایل‌های بازیابی شده را دوباره رمزگذاری کند یا بیشتر پخش شود.

اقدامات فوری پس از تشخیص عفونت

اولویت‌های اول، مهار و حفظ شواهد پزشکی قانونی هستند. فوراً دستگاه‌های آلوده را از شبکه‌ها جدا کنید (کابل‌های شبکه را جدا کنید، Wi-Fi را غیرفعال کنید) و آنها را ایزوله کنید تا از هرگونه حرکت جانبی جلوگیری شود. در صورت برنامه‌ریزی برای ضبط پزشکی قانونی، سیستم‌ها را به طور ناگهانی خاموش نکنید. در عوض، در صورت امکان تصاویر را ذخیره کنید و مهرهای زمانی و اقدامات انجام شده را مستند کنید. اگر پشتیبان‌گیری‌های اخیر را تأیید کرده‌اید، تنها پس از اطمینان از ریشه‌کن شدن بدافزار از محیط، بازیابی کنترل‌شده را آغاز کنید.

بهترین شیوه‌های امنیتی برای کاهش ریسک و محدود کردن تأثیر

پشتیبان‌گیری‌های آفلاین و آزمایش‌شده را حفظ کنید: به‌طور منظم از داده‌های حیاتی پشتیبان‌گیری کنید و حداقل یک نسخه از آن‌ها را به‌صورت آفلاین یا روی یک رسانه تغییرناپذیر ذخیره کنید. به‌طور منظم رویه‌های بازیابی را آزمایش کنید تا پشتیبان‌گیری‌ها در طول یک حادثه قابل اعتماد باشند.

وصله‌ها و مقاوم‌سازی سیستم‌ها : به‌روزرسانی‌های امنیتی را به موقع برای سیستم عامل‌ها، برنامه‌ها و میان‌افزار اعمال کنید. با غیرفعال کردن سرویس‌های بلااستفاده و حذف نرم‌افزارهای غیرضروری، سطح حمله را کاهش دهید.

از محافظت از نقاط پایانی و EDR استفاده کنید : از آنتی‌ویروس‌های مدرن و راهکارهای تشخیص و پاسخ به نقاط پایانی استفاده کنید که می‌توانند رفتارهای مخرب را شناسایی و مسدود کنند، و گزارش‌گیری و هشداردهی متمرکز داشته باشند.

اعمال حداقل امتیاز و تقسیم‌بندی شبکه : امتیازات کاربر و سرویس را فقط به موارد ضروری محدود کنید. شبکه‌ها را طوری تقسیم‌بندی کنید که یک نقطه پایانی در معرض خطر نتواند به راحتی به سرورهای حیاتی یا پشتیبان‌ها دسترسی پیدا کند.

احراز هویت قوی و MFA : برای دسترسی از راه دور، ایمیل و حساب‌های کاربری مدیریتی، احراز هویت چند عاملی الزامی است. رمزهای عبور پیش‌فرض یا ضعیف را با اعتبارنامه‌های قوی و منحصر به فرد جایگزین کنید.

ایمن‌سازی دروازه‌های ایمیل و وب : از فیلترینگ پیشرفته ایمیل و اسکن URL برای کاهش پیوست‌های مخرب و لینک‌های فیشینگ استفاده کنید. DNS و فیلترینگ وب را برای مسدود کردن دسترسی به سایت‌های مخرب شناخته شده یا زیرساخت‌های فرمان و کنترل پیاده‌سازی کنید.

آموزش کاربر و شبیه‌سازی فیشینگ : به طور منظم به کارمندان آموزش دهید تا فیشینگ، مهندسی اجتماعی و دانلودهای مشکوک را تشخیص دهند؛ از کمپین‌های فیشینگ شبیه‌سازی شده برای اندازه‌گیری و بهبود آگاهی استفاده کنید.

کنترل نصب نرم‌افزار و رسانه‌های قابل حمل : محدود کردن امکان نصب برنامه‌ها یا اجرای کدهای امضا نشده. مسدود کردن یا نظارت بر استفاده از درایوهای USB و سایر رسانه‌های قابل حمل.

ملاحظات بازیابی و پاکسازی

ریشه‌کنی باج‌افزار پیش‌نیاز بازیابی ایمن است. با متخصصان فناوری اطلاعات و امنیت همکاری کنید تا مکانیسم‌های پایداری (ورودی‌های راه‌اندازی، وظایف برنامه‌ریزی‌شده، سرویس‌ها، مصنوعات حرکت جانبی) را شناسایی کرده و آنها را حذف کنید. در صورت لزوم، سیستم‌های به شدت آسیب‌پذیر را مجدداً تصویرسازی کنید. قبل از بازیابی داده‌ها، تأیید کنید که محیط پاک است؛ در غیر این صورت، داده‌های بازیابی‌شده ممکن است دوباره رمزگذاری شوند. شواهد را برای اجرای قانون حفظ کنید و در صورت لزوم، با ارائه‌دهندگان بیمه سایبری و مشاور حقوقی در مورد الزامات افشای اطلاعات مشورت کنید.

نکات پایانی - تاب‌آوری در برابر باج

روش کار کرملین، رمزگذاری فایل‌ها و درخواست پرداخت با ارزهای دیجیتال پس از دستور دادن به قربانیان برای تماس از طریق تلگرام، نمونه‌ای از باج‌افزارهای مدرن است: سریع، مخرب و با انگیزه مالی. موثرترین دفاع، یک وضعیت امنیتی لایه‌ای (کنترل‌های فنی، وصله‌گذاری، تشخیص)، پشتیبان‌گیری آفلاین قوی و واکنش به حادثه تمرین‌شده است. در صورت آلودگی، مهار، حذف و بازیابی از پشتیبان‌گیری‌های قابل اعتماد را در اولویت قرار دهید؛ از اتکا به وعده‌های مهاجمان خودداری کنید و از پاسخ‌دهندگان حرفه‌ای به حادثه و مجریان قانون کمک بگیرید.