مواجهه با معمای Ransomware

در پی تلاش اخیر باج افزار LockBit در Accenture ، به نظر می رسد که موضوع “چه موقع” است و نه “اگر” ممکن است درهای سازمان را تیره کند.

در اوایل ماه جاری میلادی اخباری مبنی بر تلاش هکرها برای اخاذی از شرکت مشاوره ای Accenture به مبلغ 50 میلیون دلار در ازای بازگرداندن دسترسی به داده هایی که ظاهراً عاملان حمله LockBit در دست داشتند ، منتشر شد. اگرچه Accenture برخی از بی نظمی هایی را که تشخیص داده است ، تایید کرده است ، اما به نظر می رسد این شرکت از این حادثه بی بهره است و ظاهراً سرورهای خود را از نسخه پشتیبان تهیه کرده و بدون هیچگونه تأثیری ادامه داده است.

هنوز به درخواست های بیشتر از Accenture در مورد حادثه LockBit پاسخ داده نشده است.

در این مثال ، به نظر می رسد که حمله باج افزار توسط برنامه بازی پشتیبان شرکت خنثی شده است – با این وجود یک مصالحه امنیتی با هدف منع دسترسی به داده ها رخ داده است. این نشان می دهد که حتی سازمان های بزرگ می توانند هدف حملات سایبری قرار گیرند.

سیمون جلی ، مدیرعامل Veritas ، ارائه دهنده حفاظت از داده های سازمانی ، می گوید: “آنچه ما دیدیم موضوعی فزاینده از حملات به سمت سازمان های بزرگتر و سازمانی است.” او می گوید که 18 ماه پیش بسیار معمول بود که سازمان های کوچکتر و بخش عمومی ، مانند آموزش و پرورش و نهادهای دولتی ، بیشتر از دیگران هدف حملات باج افزارها قرار بگیرند.

به گفته وی ، حملات باج افزاری اکنون با هدف هدف قرار دادن شرکت های بزرگ که جیب عمیق تری دارند و احتمالاً اطلاعات بیشتری در معرض خطر هستند ، پایان یافته است. با استناد به گزارش های مربوط به حمله LockBit ، جلی می گوید Accenture به نظر می رسد از احتمال چنین حملاتی آگاه بوده است و به ترتیب کوتاه تر بازیابی شده است.

علاوه بر این ، Accenture گزارشی را در ماه جاری در مورد “افزایش سه رقمی حملات سایبری” منتشر کرد – بدون ذکر هیچگونه اشاره ای به LockBit یا تجربه خود شرکت در تلاش برای باج افزار.

جلی می گوید مهاجمان باج افزار ، مانند دیگر مجرمان سایبری ، همچنان در تلاش برای نقض امنیت پیچیده تر هستند. به عنوان مثال ، حمله زنجیره تامین به SolarWinds ماه ها قبل آغاز شد ، زیرا مهاجمان یک بازی طولانی برای توزیع بدافزار Sunburst انجام دادند. به گفته جلی ، این بدان معناست که سازمانها باید با بهبود تشخیص و حفاظت از تهدیدات خود واکنش نشان دهند. او می گوید: “در مرحله دوم ، باید مطمئن شوید که برنامه بهبودی دارید و می دانید که برنامه اقدام شما چگونه خواهد بود.”

جلی می گوید برخی از اشتراکات در حملات سایبری حتی با پیچیدگی بیشتر باقی می مانند. به عنوان مثال ، مهاجمان احتمالاً لایه های ضعیف تری از زیرساخت ها مانند تلاش های فیشینگ برای فریب کارکنان را هدف قرار می دهند. او می گوید باج افزارها و دیگر انواع حملات همچنان در تقلید از ایمیل های شرکت ها یا پیوندهای رسانه های اجتماعی بهتر عمل می کنند. “LockBit یک نوع مرجع مشروع برای مشتریان و کارکنان آنها به نظر می رسید که به آنها دسترسی به شبکه های مورد نظر را می داد.”

آنچه برای جلی در مورد حمله LockBit قابل توجه بود این بود که نشان دهنده یک تغییر مزدور در نحوه انجام فعالیت های سایبری مخرب است. به نظر می رسد ذهن پشت باج افزار LockBit این کد را به اشخاص ثالث اجاره داده است ، که سپس آن را به کار انداخته اند. جلی می گوید: “آنها خدمات ارائه شده را ارائه می دهند و تخصص خود را برای یافتن سریع ترین راه برای دسترسی به یک شرکت یا شبکه شرکتی به کار می گیرند.” “این یک تغییر قطعی بوده است. از نظر نحوه توسعه باج افزار مانند بازار عرضه دو طبقه است. “

به گفته جلی ، گرچه به نظر می رسد Accenture تلاش LockBit را کنار گذاشته است ، اما باج افزار بخشی از چشم انداز تهدید است. “نرم افزار همیشه در حال دستیابی به این است که باهوش ترین هکر بعدی است که سعی می کند به زیرساخت ها نفوذ کند.” او می گوید حتی اگر شرکتی بتواند داده ها را از نسخه های پشتیبان بازیابی کند ، خطر انتشار هکرها از داده های بالقوه همچنان وجود دارد.

جلی می گوید: “سازمان ها باید خود را به عنوان اهداف بالقوه در نظر بگیرند.” او می گوید که بهبود مستمر نرم افزارهای امنیتی ممکن است یک گام مهم برای سازمانها باشد ، اگرچه ممکن است برای دفاع و به حداقل رساندن اثر باج افزار کافی نباشد. “بازیابی خود را آزمایش کنید تا بدانید می توانید داده های خود را پس بگیرید و در نهایت مجبور به پرداخت این باج نباشید.” جلی می گوید.