سرقت و فروش دسترسی به شبکه سازمان‌ها افزایش یافت

هک شبکه‌ها و فروش دسترسی به آنها، را افرادی با عنوان "دلال‌های دسترسی اولیه" (Initial Access Broker)  انجام می‌دهند که این افراد با هک سرور یا سامانه سازمان، پس از دستیابی به اطلاعات لازم برای رخنه به آنها، دسترسی فراهم شده را به سایر تبهکاران سایبری  می‌فروشند.

 خرید و فروش اطلاعات اصالت‌سنجی (Credential) دسترسی‌های از راه دور مدتهاست که بخشی از اکوسیستم وب تاریک (Dark Web) شده است و تبلیغات واسطه‌های فروش همواره در وب تاریک منتشر می‌شود.

دسترسی از طریق( Remote Desktop Protocol)    که به اختصار به آن RDP  می‌گویند با ۱۷ درصد، بیشترین سهم از دسترسی‌های اولیه فروخته شده در سال ۲۰۲۰ را به خود اختصاص داده و RDPبا میانگین قیمت ۹۸۰۰ دلار جایگاه گران‌ترین روش را نیز کسب کرده است.

رصد برخی از پایگاه‌‌های اینترنتی که در آنها دسترسی‌های RDP به فروش می‌رسد نشان می‌دهد که بخش‌های آموزش، بهداشت و درمان، فناوری، صنعت و ارتباطات اصلی‌ترین اهداف حملات مبتنی بر RDP هستند. سازمان‌های فعال در هر یک از این حوزه‌ها می‌توانند هدفی پرسود از نگاه باج‌گیران سایبری باشند.

شرکت «دیجیتال شدوز» میانگین قیمت یک دسترسی اولیه را ۷۱۰۰ دلار گزارش کرده است که این مبلغ بسته به سازمان، نوع و سطح دسترسی و تعداد دستگاه‌های قابل دسترس از طریق آن، می‌تواند متفاوت باشد.

در جریان برخی از این حملات و رخنه به شبکه قربانی از طریق RDP صدها هزار دلار و گاه میلیون‌ها دلار از قربانی اخاذی می‌شود که مبلغ قریب به ۱۰ هزار دلار صرف شده برای خرید دسترسی در برابر آن مبالغ هنگفت اصلاً به چشم نمی‌آید.

با توجه به تداوم سوءاستفاده گسترده مهاجمان از RDP، و از آنجا که سرورهای با RDP باز به‌سادگی از طریق جستجوگرهایی همچون Shodan قابل شناسایی هستند، کارشناسان مرکز مدیریت راهبردی افتا به همه مسئولان و کارشناسانIT دستگاه‌های زیرساخت تاکید می‌کنند تا دسترسی به RDP را در بستر اینترنت مسدود و از تغییر درگاه (Port) پیش‌فرض RDP اطمینان حاصل کنند.

ضروری است تا مسئولان و کارشناسانIT دستگاه‌های زیرساخت از پروتکل TCP بجای UDP  و همچنین از اصالت‌سنجی موسوم به Network Level Authentication (NLA)  استفاده کنند.

کارشناسان مرکز مدیریت راهبردی افتا از همه مسئولان و کارشناسانIT دستگاه‌های زیرساخت خواسته‌اند تا اطمینان حاصل کنند که سیاست‌های مدیریت رمز عبور از جمله الزام پیچیده و غیرتکراری بودن آنها شامل حساب‌های کاربری RDP نیزشده است تا احتمال هک شدن آنها در جریان حملات Brute-force به حداقل برسد.

برای در امان ماندن از رخنه به شبکه سازمانی از طریق RDP ، سازمان‌ها و دستگاه‌های زیرساخت باید حتی‌الامکان از اصالت‌سنجی‌های دوعاملی (2FA) برای دسترسی به RDP استفاده کنند و میزان دسترسی به RDP به نشانی‌های IP مجاز و حساب‌های کاربری خاص، محدود شود.

کارشناسان مرکز مدیریت راهبردی افتا بر تاکید بر اینکه ارتباطات RDP باید از طریق SSH یا  IPSec  امن شود از متخصصان IT  سازمان‌ها و دستگاه‌های زیرساخت خواسته اند تا از اعمال سریع اصلاحیه‌های (Patch) عرضه شده اطمینان حاصل کنند و در نامگذاری‌ها تلاش شود که اطلاعات سازمان افشا نشود.

متخصصان IT  سازمان‌ها و دستگاه‌های زیرساخت باید سطح دسترسی کاربران محلی و تحت دامنه را در حداقل ممکن تنظیم و از سامانه‌های کنترل دسترسی نقش- محور  RBAC- Role-based Access Control  استفاده کنند.

مشروح گزارش فنی مرکز مدیریت راهبردی افتا، در باره حملات سایبری و رخنه به شبکه قربانیان از طریق RDP در لینک https://www.afta.gov.ir/portal/home/?news/235046/237266/242898/https://www.afta.gov.ir/portal/home/?news/235046/237266/242898/ منتشر شده است.

No tags for this post.

نوشته های مشابه

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

دکمه بازگشت به بالا