ریموت دسکتاپ، تهدیدی به اندازه همه دادههای دیجیتالی ما
در ماههای اخیر بارها و بارها شنیده شده که نوع خاصی از باجافزار میتواند از طریق ریموت دسکتاپ و یا همان پورت RDP اقدام به رمزگذاری اطلاعات نماید. اما آیا واقعا این اتفاق واقعی است!؟
به صورت خلاصه، این خانواده از باجافزارها (Dharma Ransomware) نسخه پیشرفته تری از باجافزار CrySis میباشند که برای اولین بار در سال ۲۰۱۶ مشاهده شدند. مکان جغرافیایی قربانیان متفاوت بود ولی همه در یک ویژگی مشترک بودند، همه آنها پورت ریموت دسکتاپ به سمت اینترنت را باز نگ داشته بودند.
مهاجمان به دنبال قربانیانی میگشتند که پورت ریموت دسکتاپ آنها به سمت اینترنت باز بود و پس از پیدا کردن آنها شروع به Brute Force کردن بر روی آنها میکردند. هر چند این جستجو راه نزدیکتری هم دارد که در بازارهای زیر زمینی پایگاه دادههای محتلفی از لیست کامپیوترهای با ریموت دسکتاپ باز وجود دارد که به راحتی قابل خریداری هستند. هر چند در ابتدا هدف اصلی حوزه سلامت و بهداشت بود. محققان معتقدند پس از Brute Forceکردن پسوردها، باج افزار به صورت manually توسط هکرها نصب میشود.
پس از این اتفاقات هر از چندگاهی گونه جدیدی از این باجافزار کشف میشود که البته کماکان از باز بودن پورت RDP استفاده میکند. البته شرکت کسپرسکی برای بعضی از گونههای این باجافزار ابزاری با نام RakhniDecryptor برای بازگرداندن فایلهای رمزگذاری شده ارائه کرده که در اینجا قابل دسترسی است.
اما سوال اصلی اینجاست که برای اینکه به این باجافزار آلوده نشویم چه باید کرد؟
- بکآپ، بکآپ، بکآپ … در مورد ضرورت داشتن بکآپ ( البته بکآپ آنلاین) هیچ تردیدی وجود نداشته و تقریبا همه به این نتیجه رسیدهایم که ضمن داشتن و رعایت همه ابزارهای امنیتی، کماکان نیاز به یکآپ آنلاین امری اجتناب ناپذیر است.
- مسدود کردن پورت RDP به سمت اینترنت در کل شبکه ؛ کسبوکارها و سازمانهای زیادی هستند که به دلایلی مجبورند ریموت دسکتاپ را به سمت اینترنت باز نگه دارند و تقریبا فکر میکنند بدون این کار نمیتوانند سرویس درستی به کاربرانشان ارائه دهند. ولی تجربه باجافزار دارما به ما ثابت کرد که زمان این کار به پایان رسیده و راهکار درست در این شرایط، ایجاد ارتباطات VPN و ارائه RDP بر روی این بستر است.
- استفاده از ابزارهای امنیتی که قابلیت AntiCrypto را دارند؛ شرکت کسپرسکی پس از روند رو به رشد و توسعه باجافزارها، نسخه از ابزار امنیتیاش را برای File Serverها ارائه کرد که در آن به صورت تخصصی امکانی برای محافظت در برابر باجافزارها با نام AntiCrypto تعبیه شده بود.
در پایان تاکید میکنیم رعایت همه موارد بالا و نه تنها یکی از آنها میتواند کمک شایانی به محافظت در برابر این نوع خاص از باجافزارها بکند.
