مرکز ماهر هشدار داد
بروز خسارت باجافزاری به سامانههای بیمارستانی کشور
مهر: مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانهای از بروز حملات باجافزاری به سرورهای ویندوزی چندین سامانه بیمارستانی در کشور خبر داد. مرکز ماهر در اطلاعیهای اعلام کرد: در هفتههای اخیر، گزارشهای متعددی از حمله باجافزارها (نرمافزار مخرب باجگیر) به سرورهای ویندوزی از جمله چندین سامانه بیمارستانی در کشور واصل شده است که خسارات جبرانناپذیری به بار آورده است. بررسیهای فنی نشان داده در بسیاری از این حملات، مهاجمان با سوءاستفاده از دسترسی به «سرویس دسترسی از راه دور» در سیستم عامل ویندوز که مبتنی بر پروتکل ریموت دسکتاپ (RDP)است، وارد شده، آنتیویروس نصب شده را غیرفعال کرده و با انتقال فایل باجافزار، اقدام به رمزگذاری فایلهای سرور میکنند.
مهر: مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانهای از بروز حملات باجافزاری به سرورهای ویندوزی چندین سامانه بیمارستانی در کشور خبر داد. مرکز ماهر در اطلاعیهای اعلام کرد: در هفتههای اخیر، گزارشهای متعددی از حمله باجافزارها (نرمافزار مخرب باجگیر) به سرورهای ویندوزی از جمله چندین سامانه بیمارستانی در کشور واصل شده است که خسارات جبرانناپذیری به بار آورده است. بررسیهای فنی نشان داده در بسیاری از این حملات، مهاجمان با سوءاستفاده از دسترسی به «سرویس دسترسی از راه دور» در سیستم عامل ویندوز که مبتنی بر پروتکل ریموت دسکتاپ (RDP)است، وارد شده، آنتیویروس نصب شده را غیرفعال کرده و با انتقال فایل باجافزار، اقدام به رمزگذاری فایلهای سرور میکنند. حتی در مواردی، مشاهده شده است که مهاجمان، با صرف زمان کافی و پس از کسب شناخت و انجام انواع دیگری از سوءاستفادههای ممکن، زمان و الگوی انجام پشتیبانگیری از اطلاعات را نیز شناسایی کرده و موفق به انجام حملات باجافزاری بینقص شدهاند.
طبق اعلام مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانهای، در این حملات، مهاجم با سوءاستفاده از نسخههای آسیبپذیر سرویسRemote Desktop، رمز عبور ضعیف، تنظیمات ناقص یا بیاحتیاطی در حفاظت از رمز عبور، وارد سرورها میشود. درپی حمله باجافزاری پیش آمده، مرکز ماهر از کاربران سامانههای نرمافزاری خواست به منظور جلوگیری از وقوع این حملات، تا حد امکان، نسبت به مسدود کردن سرویسهای غیرضروری ریموت دسکتاپ روی سرورهای در دسترس از طریق شبکه اینترنت اقدام کنند و در صورت ضرورت و غیرقابل اجتناب بودن ارائه این امکان در بستر اینترنت، موارد زیر را به دقت رعایت کنند. فعال بودن دسترسی Remote Desktop بهصورت حفاظتنشده در سطح اینترنت، سرور و دادههای کاربران را جدا در معرض خطر قرار خواهد داد.
این نکات را جدی بگیرید
۱. بهروزرسانی مداوم سیستم عامل و هوشیاری از احتمال رخداد حملات جدید و شناسایی آسیبپذیریهای جدید.
۲. انجام منظم و سختگیرانه پشتیبانگیری از اطلاعات روی تعداد کافی از رسانههای ذخیرهسازی اطلاعات و آزمایش نسخ پشتیبان پس از هر مرتبه پشتیبانگیری.
۳. عدم استفاده از کاربر ادمین (Administrator) برای دسترسی از راه دور و تعریف یک کاربر جدید با دسترسی محدود شده برای این منظور.
۴. تنظیم سرورها به شکلی که برای ورود موفق، سقف مشخص و محدودی از تلاشهای ناموفق تعیین شود، سطح قابل قبولی از پیچیدگی برای رمز عبور را الزام کرده و تغییر رمز عبور در بازه زمانی معقولی را اجبار کند. این فرآیند در سیستمعاملهای مختلف متفاوت بوده و بسیار ساده اما تاثیرگذار است و سبب پیشگیری از موفقیت بسیاری از حملات بر پایه دیکشنری یا دزدیدن رمز عبور میشود.
۵. در صورت امکان، محدود کردن اجازه استفاده از خدمات دسترسی از راهدور در فایروال به آدرس آیپیهای مشخص و نیز ایجاد لایههای دفاعی بیشتر با تکیه بر خدماتی چون VPN.
۶. محدود کردن زمان و ساعت استفاده از خدمات دسترسی از راهدور با استفاده از Group Policy Manager ویندوز. برای مثال محدود کردن دسترسی به ساعات اداری یا حتی فعال کردن دسترسی از راه دور فقط در زمان نیاز و غیرفعال کردن آن پس از رفع نیاز.
۷. بررسی مداوم و روزانه گزارشهای امنیتی (به ویژه گزارش مربوط به Log-in در Event-viewer ویندوز)، گزارش آنتیویروس و فایروال، برای آگاه شدن از مواردی چون زمان ورود هر کاربر و توجه و واکنش متناسب به موارد غیرمتعارف همچون ورود در روزها یا ساعتهای تعطیل و تلاشهای ناموفق بدافزارها برای دسترسی و آلودهسازی.
۸. دقت مضاعف در زمان استفاده از نام کاربری و گذرواژه برای دسترسی از راه دور؛ به ویژه زمانی که برای اتصال از رایانه دیگران استفاده میشود. چرا که انواع Key logger از تروجانها میتوانند با دزدیدن مخفی اطلاعات تایپ شده، دسترسی مهاجمان به سرورها را ممکن کنند.
مرکز ماهر هشدار داد: حملات باجافزاری به سرویسهای دسترسی از راه دور، به دلیل اینکه در ناآگاهی کاربر یا مدیر، تمام فرآیند ورود را میبینند، بسیار خطرناک بوده و منشأ اغلب حملات با میزان خسارت زیاد در ماههای اخیر هستند.
ارسال نظر