گزارش دیجیتال فارنزیک - بخش هفتم

در سال‌های اخیر، حملات باج‌افزاری به یکی از جدی‌ترین تهدیدات امنیت سایبری برای سازمان‌ها تبدیل شده‌اند. مهاجمان با سوءاستفاده از ضعف‌های پیکربندی، گذرواژه‌های ضعیف و سرویس‌های در معرض اینترنت، تلاش می‌کنند به شبکه‌های سازمانی نفوذ کرده و با رمزگذاری داده‌ها، قربانیان را مجبور به پرداخت باج کنند.

یکی از روش‌های متداول برای دسترسی اولیه در این حملات، سوءاستفاده از پروتکل Remote Desktop Protocol (RDP) است که در صورت عدم ایمن‌سازی مناسب، می‌تواند به راحتی هدف حملات Brute Force قرار گیرد.

خانواده باج‌افزار LockBit از جمله فعال‌ترین و پیشرفته‌ترین گروه‌های باج‌افزاری در سال‌های اخیر محسوب می‌شود که با استفاده از مدل Ransomware-as-a-Service (RaaS) فعالیت می‌کند.

این گروه با ترکیب روش‌های مختلف نفوذ، غیرفعال‌سازی ابزارهای دفاعی و اجرای سریع مرحله رمزگذاری، توانسته است طیف گسترده‌ای از سازمان‌ها را هدف قرار دهد.

در بسیاری از موارد، مهاجمان پس از دسترسی اولیه، به سرعت سطح دسترسی خود را افزایش داده و کنترل کامل دامنه را در اختیار می‌گیرند.

در این گزارش، روند یک حمله باج‌افزاری مرتبط با LockBit بررسی می‌شود که در آن مهاجم از طریقRDP Brute Force وارد سیستم شده و در مدت کوتاهی سطح دسترسی خود را به Domain Admin ارتقا داده است. سپس با غیرفعال‌سازی مکانیزم‌های امنیتی، برقراری ارتباط با یک سرور خارجی و اجرای ابزارهای مرتبط با باج‌افزار، فرآیند رمزگذاری را آغاز کرده است. 

تحلیل این رخداد می‌تواند دید مناسبی از تاکتیک‌ها، تکنیک‌ها و رویه‌های (TTPs) مورد استفاده مهاجمان در حملات واقعی ارائه دهد.

به منظور دانلود نسخه کامل این گزارش به لینک زیر مراجعه نمایید:

دانلود گزارش دیجیتال فارنزیک بخش هفتم