۲۲ مهر فرد یا گروهی به برخی زیرساختهای مهم کشور حملهی باجافزاری کرد. دو دستگاه دولتیِ سازمان بنادر کشور و وزارت راه درگیر این حمله و وبسایت آنها از دسترس خارج شدند. حال مرکز مدیریت راهبردی افتا جزئیات حملهی بدافزاری اخیر را منتشر کرده است.
بهگزارش مرکز مدیریت راهبردی افتای ریاستجمهوری، مبدأ اصلی - تعمیرگاه مجاز ساید بای ساید آرچلیک - حمله اجرای کد پاورشل از روی یکی از سرورهای DC بوده است. مهاجمان برخی فایلهای اکثر کلاینتها و سرورهای متصل به دامنه را دچار تغییر کردهاند؛ بهگونهای که پسوند برخی فایلها تغییر یافتند و در برخی موارد بخشی از فایل و در مواردی هم کاملا رمزگذاری شدند.
طبق - تعمیرگاه مجاز ساید بای ساید آرچلیک - نتیجهی بررسیهای اولیه در آزمایشگاه مرکز افتا، نحوهی نفوذ به سرورهای DC هنوز مشخص نیست؛ اما شواهدی مبنیبر سوءاستفاده از آسیبپذیری Zero logon وجود دارد. افتا گزارش میدهد که حملهی باجافزاری اخیر بهصورت File-less انجام شد؛ یعنی هیچ فایلی روی سیستم قربانیان اجرا نشد و تمام عملیات مخرب ازطریق اجرای - تعمیرگاه مجاز ساید بای ساید آرچلیک - کد پاورشل از راه دور انجام شد.
در گزارش مرکز مدیریت افتا آمده است:
بهترین خدمات تعمیرگاه مجاز ساید بای ساید آرچلیک
مهاجمان سایبری تنها بخشی از فایلها را رمزگذاری و همین فایلها را در کمترین زمان تخریب کردهاند و برای جلوگیری از ایجاد اختلال در عملکرد خود سیستمعامل، بخشی از فایلها - تعمیرگاه مجاز ساید بای ساید آرچلیک - و مسیرهای خاص در فرایند رمزگذاری را در نظر نگرفتهاند.
در زمان حمله، بنا - تعمیرگاه مجاز ساید بای ساید آرچلیک - به برخی دلایل مانند جلوگیرینکردن از فرایند رمزگذاری، چند برنامهی کاربردی حذف یا غیرفعال میشوند. همچنین برای جلوگیری از بازگرداندن فایلهای قربانی، Shadow-Copy و Restore-Point سامانه مربوط حذف میشود.
در ادامهی گزارش میخوانیم مهاجمان در - تعمیرگاه مجاز ساید بای ساید آرچلیک - پوشههایی که فایلهای آنها رمزنگاری شدهاند، فایلی را بهنام Readme.READ ایجاد کردند که - تعمیرگاه مجاز ساید بای ساید آرچلیک - حاوی آدرسهای ایمیلشان است. بنا به توصیهی واحد امداد مرکز مدیریت راهبردی افتا، - تعمیرگاه مجاز ساید بای ساید آرچلیک - برای مقابله با این نوع باجافزارها لازم است کلاینتهای کاری پس از اتمام ساعات کاری خاموش - تعمیرگاه مجاز ساید بای ساید آرچلیک - و اتصال پاور آنها هم قطع شود. غیرفعالکردن اجرای کد از راه دور با ابزارهایی مانند Powershell/PsExec و سیگنال Wake-on-LAN) WoL) - تعمیرگاه مجاز ساید بای ساید آرچلیک - در BIOS/UEFI، بستن پورتهای ۷ و ۹ UDP برای جلوگیری از ارسال فرمان WOL در شبکه، پشتیبانگیری منظم و - تعمیرگاه مجاز ساید بای ساید آرچلیک - انتقال فایلهای پشتیبان به خارج از شبکه از دیگر توصیههای امنیتی افتای ریاستجمهوری عنوان شد.
افزونبراین، مقاومسازی و بهروزرسانی سرویسهای AD و DC برای جلوگیری از سوءاستفاده بدافزارها و بررسی دورهای لاگهای ویندوز برای شناسایی هرگونه ناهنجاری نیز توصیه شده است.