هشدار امنیتی مهم زیرساختی
چرا این بدافزار خطرناک است؟
*▫️تخریب هدفمند:* برخلاف باجافزارها، هدف این بدافزار پول نیست؛ بلکه نابودی کامل دادهها و فلج کردن زیرساختهاست.
*▫️عبور از دفاعهای معمول:* با استفاده از تکنیک BYOVD (استفاده از درایورهای قانونی اما آسیبپذیر)، از سیستمهای تشخیص نفوذ عبور کرده و به سطح Kernel دسترسی پیدا میکند.
*▫️حمله سه مرحلهای:* ابتدا سرویسهای پشتیبان و آنتیویروس را متوقف میکند، سپس فایلها را با دادههای بیارزش پر میکند و در نهایت بخش بوت (MBR) را نابود میسازد.
راهکارهای فوری و اجرایی برای سازمانها:
*▪️ایزوله کردن پشتیبانها (Air-Gap)*: اطمینان حاصل کنید که نسخههای پشتیبان حیاتی، بهصورت فیزیکی یا منطقی از شبکه اصلی جدا باشند تا در صورت نفوذ، پاک نشوند.
*▪️مسدود کردن درایورهای آسیبپذیر*: لیستی از درایورهای قدیمی و دارای آسیبپذیری تهیه کرده و بارگذاری آنها را در سیستمها مسدود کنید.
بخشبندی شبکه (Segmentation): با جداسازی بخشهای مختلف شبکه، حرکت عرضی مهاجم را محدود کنید.
تقویت دسترسیهای مدیریتی: استفاده اجباری از احراز هویت چندمرحلهای (MFA) برای تمام دسترسیهای ادمین به سرورهای حساس.
نکته: این بدافزار پس از تخریب، ردپاهای خود را پاک میکند. بنابراین، تمرکز باید بر پیشگیری و تابآوری باشد، نه فقط واکنش پس از حادثه.