التكتيكات والإجراءات والتقنيات المتبعة فيما يخص برامج الفدية

أجرى خبراء Kaspersky تحليلاً متعمقًا لتكتيكات وأساليب وإجراءات برامج الفدية الثماني الأكثر شيوعًا Conti/Ryuk وPysa وClop وHive وLockbit2.0 وRagnarLocker وBlackByte وBlackCat. درس خبراء Kaspersky المجموعات الثماني الأكثر شيوعًا لبرامج الفدية وحللوا تكتيكاتها وإجراءاتها وتقنياتها بالتفصيل. ويسمح ذلك للأشخاص بإنشاء إجراءات وقائية عالمية فعالة، من شأنها أن تحمي البنية التحتية للشركة من برامج الفدية.

يمكن العثور على تفاصيل الدراسة الخاصة ببرامج الفدية هذه، بالإضافة إلى أساليبهم المتبعة، وأمثلة حول أنواع برامج الفدية هذه المستخدمة حاليًا من خلال تقرير التكتيكات والإجراءات والتقنيات الشائعة للمجموعات الحديثة من برامج الفدية. كما تتضمن قواعد لاكتشاف التقنيات الضارة ضمن تنسيق SIGMA.

يستهدف التقرير بالأساس محللي مركز عمليات الأمان (SOC)، وخبراء تتبع المخاطر والتحليل الذكي للمخاطر، ومختصي الاستجابة للحوادث وإجراء التحقيقات. ومع ذلك، فقد جمع الباحثون لدينا أيضًا أفضل الممارسات لمكافحة برامج الفدية من مصادر مختلفة في التقرير. سيكون من المفيد تكرار التوصيات العملية الرئيسية لحماية البنية التحتية للشركة في مرحلة منع التطفل وعلى مدونتنا.

منع التطفل

الخيار المثالي هو إيقاف هجوم برامج الفدية قبل أن يصل التهديد إلى محيط الشركة. ستساعد التدابير التالية في تقليل مخاطر التطفل:

تصفية معدل الاستخدام الوارد.يجب تنفيذ سياسات التصفية على جميع الأجهزة الطرفية — أجهزة التوجيه، جُدر الحماية، أنظمة IDS. لا تنس تصفية البريد من البريد العشوائي والتصيد الاحتيالي. يوصى باستخدام  آلية تحديد الوصول  للتحقق من صحة مرفقات البريد الإلكتروني.

حظر مواقع الويب الضارة.تقييد الوصول إلى مواقع الويب الضارة المعروفة. على سبيل المثال، من خلال تطبيق تقييد الخوادم الوكيلة.  ومن المهم أيضًا استخدام موجزات البيانات للتحليل الذكي للمخاطر للاحتفاظ بقوائم محدثة للتهديدات الإلكترونية.

استخدام فحص الحزم العميقة (DPI). سيمكنك الحل من فئة DPI على مستوى البوابة من فحص معدل الاستخدام بحثًا عن أي برامج ضارة.

حظر التعليمات البرمجية الضارة.استخدم التوقيعات لحظر البرامج الضارة.

حماية سطح المكتب البعيد.تعطيل RDP حيثما أمكن. إذا لم تتمكن لسبب ما من التوقف عن استخدامه، فضع الأنظمة ذات منفذ RDP مفتوح (3389) خلف جدار الحماية، ولا تسمح بالوصول إليه إلا من خلال VPN.

المصادقة متعددة العوامل استخدم المصادقة متعددة العوامل وكلمات المرور القوية وسياسات التأمين التلقائي للحساب في جميع النقاط التي يمكن الوصول إليها عن بُعد.

قوائم الاتصالات المسموح بها.يؤدي فرض تنفيذ بروتوكول الإنترنت (IP) إلى إتمام الإدراج باستخدام جُدر الحماية للبرنامج.

إصلاح الثغرات الأمنية المعروفة.ثبت تصحيحات الثغرات الأمنية في الوقت المناسب في أنظمة الوصول عن بُعد والأجهزة ذات الاتصال المباشر بالإنترنت.

يتضمن التقرير أيضا نصائح عملية بشأن الحماية من الاستغلال والحركة الجانبية، فضلا عن تقديم توصيات لمكافحة تسرب البيانات والاستعداد للحادث.

حماية إضافية

من أجل تسليح المؤسسات بأدوات إضافية للمساعدة في القضاء على مسار انتشار الهجوم في أقرب وقت ممكن والتحقيق في حادث، قمنا أيضًا بتحديث حل EDR الخاص بنا. ويسمى الإصدار الجديد، الذي يناسب المؤسسات ذات عمليات أمن تكنولوجيا المعلومات المتقدمة، باسم Kaspersky Endpoint Detection and Response Expert. يمكن نشره في السحابة أو داخل الموقع. يمكنك معرفة المزيد عن إمكانيات هذا الحل  من هنا   .