حمله پیشرفته RansomHub به سرورهای RDP

گزارش جدیدی از The DFIR Report نشان می‌دهد که گروه باج‌افزاری RansomHub در یک حمله شش‌روزه، با بهره‌گیری از سرورهای Remote Desktop Protocol (RDP) در معرض خطر، شبکه‌ای سازمانی را هدف قرار داده است. این حمله با استفاده از تکنیک رمزعبور (password spray) برای دسترسی اولیه، ابزارهایی مانند Mimikatz و Rclone برای سرقت داده‌ها، و نرم‌افزارهای مدیریت از راه دور (RMM) مانند Atera و Splashtop برای تداوم دسترسی انجام شد. این کمپین، که در فوریه ۲۰۲۵ شناسایی شد، بر ضرورت تقویت امنیت سرورهای RDP تأکید دارد.

جزئیات حمله RansomHub چیست؟

• نوع تهدید: باج‌افزار با مدل دوگانه (Double-Extortion)

• روش دسترسی اولیه: حمله رمزعبور (password spray) به سرورهای RDP در معرض خطر

• ابزارهای مورد استفاده:

Mimikatz و Nirsoft: سرقت اطلاعات ورود و دسترسی به حافظه LSASS

Advanced IP Scanner و NetScan: شناسایی شبکه و حرکت جانبی

Rclone: انتقال داده‌ها به سرورهای خارجی از طریق SFTP

Atera و Splashtop: ابزارهای RMM برای تداوم دسترسی

• تأثیر: رمزگذاری فایل‌ها در شبکه با استفاده از پروتکل SMB، حذف کپی‌های سایه (shadow copies)، و سرقت داده‌ها

• شناسه فایل رمزگذاری‌شده: افزودن پسوندی مانند “.293ac3” به فایل‌های رمزگذاری‌شده

• مدت حمله: شش روز، با اجرای گسترده باج‌افزار در روز ششم

این حمله با رمزگذاری فایل‌ها و سرقت داده‌ها، از مدل دوگانه باج‌گیری (داده‌دزدی و رمزگذاری) استفاده کرد و یادداشت باجی با اشاره به گروه RansomHub در سیستم‌ها قرار گرفت.

چگونه این حمله عمل کرد؟

1. دسترسی اولیه: مهاجمان با حمله رمزعبور به سرور RDP در مدت چهار ساعت به حساب‌های متعددی دسترسی پیدا کردند.

2. سرقت اطلاعات ورود: با استفاده از Mimikatz و Nirsoft، اطلاعات ورود از حافظه LSASS استخراج شد.

3. شناسایی شبکه: ابزارهای NetScan و Advanced IP Scanner برای شناسایی سرورها و کنترل‌کننده‌های دامنه (domain controllers) استفاده شدند.

4. تداوم دسترسی: ابزارهای RMM مانند Atera و Splashtop برای حفظ دسترسی و مدیریت از راه دور نصب شدند.

5. سرقت داده‌ها: داده‌ها با Rclone از طریق SFTP به سرورهای خارجی منتقل شدند.

6. رمزگذاری شبکه‌ای: باج‌افزار با استفاده از SMB به میزبان‌های دیگر منتقل شد و فایل‌ها با پسوندی مانند “.293ac3” رمزگذاری شدند.
   این حمله همچنین با حذف کپی‌های سایه و پاک‌سازی لاگ‌های رویداد، امکان بازیابی را دشوار کرد.

وضعیت کنونی تهدید

تا ۱۲ تیر ۱۴۰۴، گروه RansomHub به‌عنوان یکی از فعال‌ترین گروه‌های باج‌افزاری شناخته می‌شود و بیش از ۶۰۰ سازمان را در سال ۲۰۲۴ هدف قرار داده است. پست‌های منتشرشده در X توسط حساب‌هایی مانند @the_yellow_fall، @fridaysecurity و @HackingLZ نشان‌دهنده نگرانی عمومی درباره این حملات هستند. این گروه، که از فوریه ۲۰۲۴ فعالیت خود را آغاز کرده، به دلیل استفاده از کد منبع باج‌افزار Knight (Cyclops سابق) و مدل RaaS (باج‌افزار به‌عنوان سرویس) با تقسیم سود ۹۰-۱۰ با همکاران، به سرعت رشد کرده است.

اقدامات لازم برای محافظت

برای محافظت در برابر حملات مشابه:

1. غیرفعال‌سازی RDP غیرضروری: سرورهای RDP را از دسترسی عمومی خارج کنید یا از پورت پیش‌فرض 3389 استفاده نکنید.

2. فعال‌سازی احراز هویت چندمرحله‌ای (MFA): از MFA مبتنی بر OTP یا کلیدهای امنیتی برای دسترسی‌های RDP استفاده کنید.

3. سیاست‌های رمزعبور قوی: از رمزهای عبور پیچیده و منحصربه‌فرد استفاده کنید و سیاست قفل حساب پس از تلاش‌های ناموفق را اعمال کنید.

4. نظارت بر شبکه: ابزارهای SIEM و EDR را برای شناسایی فعالیت‌های مشکوک مانند اسکن شبکه یا دسترسی غیرمجاز به کار ببرید.

5. پشتیبان‌گیری منظم: از استراتژی 3-2-1-1-0 (سه نسخه داده، دو رسانه مختلف، یک نسخه آفلاین، یک نسخه غیرقابل‌تغییر، تست بازیابی) پیروی کنید.

6. به‌روزرسانی وصله‌ها: سیستم‌ها را با آخرین وصله‌های امنیتی به‌روز کنید، به‌ویژه برای آسیب‌پذیری‌هایی مانند BlueKeep (CVE-2019-0708).

7. آموزش کارکنان: کاربران را در مورد حملات فیشینگ و رمزعبور آموزش دهید.

چرا این تهدید مهم است؟

RDP به دلیل استفاده گسترده در مدیریت شبکه‌ها، هدف محبوبی برای باج‌افزارهاست. گزارش‌ها نشان می‌دهند که بیش از ۹۰٪ حملات باج‌افزاری از RDP به‌عنوان بردار اولیه استفاده می‌کنند. RansomHub با بهره‌گیری از ابزارهای قانونی مانند Atera و Splashtop و تکنیک‌های پیشرفته مانند رمزگذاری متناوب (intermittent encryption)، تشخیص و مقابله را دشوار می‌کند. این حملات می‌توانند به قطعی‌های گسترده، خسارات مالی (متوسط ۹.۳۶ میلیون دلار در سال ۲۰۲۴) و سرقت داده‌های حساس منجر شوند. تقویت امنیت RDP و هوشیاری سازمان‌ها برای کاهش این تهدیدات حیاتی است.