IPImen ، Firewall ، NGFirewall-UTM، آیپی ایمن، فایروال ایرانی ، فایروال بومی، یوتی ام بومی، یوتی ام ایرانی، فایروال نسل بعدی ایرانی، فایروال نسل بعدی بومی

باج افزار

کلمات رایج امنیت شبکه و فناوری اطلاعات IPImen

Babuk، تهدید باج افزاری جدید و در حال رشد

 

گروه باج افزاری Babuk که در آغاز سال 2021 کشف شده است، چندین بخش از جمله مراقبت های بهداشت و درمان، تولید و تدارکات را هدف قرار داده است. این شرکت اخیراً بسیار فعال بوده و از قربانیان خود هزاران دلار باج مطالبه کرده است.

takian.ir babuk ransomware locker

 

چرا بابوک یک تهدید رو به رشد است؟

مجرمان پشت پرده این باج افزار، تکنیک اخاذی مضاعف را اجرا می کنند، که در آن اپراتورها پس از سرقت اطلاعات، فایل ها را قفل می کنند. مطالبات پرداختی برای باج این باند بدافزاری از 60،000 تا 85،000 دلار متغیر است.

به گزارش سای‌ور، تنها در طی یک ماه، این باند به چندین سازمان از جمله هیوستون راکتز، فروشگاه تلفن همراه اسپانیا، اداره پلیس متروپولیتن و تلتون بیوتک حمله کرده است.

در این ماه، سازمان های ورزشی، ارتباطی و دولتی دیگر را نیز هدف قرار داده است. پیش از این، اهداف شناخته شده شامل نهادهای تولیدی نیز میبودند.

این باند اخیراً ویژگی های جدیدی را به مرحله اجرا درآورده است تا اطمینان حاصل کند دستگاه های قربانی می توانند قبل از استقرار باج افزار رمزگذاری شوند. علاوه بر این، این گروه وب سایتی را برای درز اطلاعات و فشار به قربانیان برای پرداخت باج و مطالبات مالی از آنها ایجاد کرده است.

 

انتقال دهندگان آلودگی

گروه Babuk از چندین وکتور برای گسترش و انتقال آلودگی استفاده می کند؛ از جمله آنها میتوان به فیشینگ ایمیل اشاره کرد که در آن، گروه ایمیل اولیه ای را که به یک بدافزار متفاوت مانند Trickbot یا Emotet لینک شده است، ارسال می کند و به شکل یک لودر عمل می کند.

باند باج افزار بابوک به سوءاستفاده از آسیب پذیری های افشا شده که پچ نشده و بروزرسانی نشده اند، شناخته میشود. این باج افزار بخصوص برای بهره برداری از نرم افزارهای دسترسی از راه دور، سخت افزارهای شبکه، سرورهای وب و فایروال ها نیز شناخته شده است.

این گروه با استفاده از حساب های معتبر در معرض خطر، در شبکه هدف قربانی رسوخ میکند. این کار معمولاً از طریق دسترسی RDP با محافظت ضعیف و با گواهینامه های معتبری که از طریق فروشندگان اطلاعات بدست می آورد، انجام می شود.

استوریج های QNAP، آسیب پذیری 7zip و درآمد 250 هزار دلاری در پنج روز

 

یک گروه باج افزار با رمزگذاری از راه دور فایل ها در استوریج های QNAP با استفاده از نرم افزار بایگانی 7zip در فاصله 5 روز 250,000 دلار درآمد کسب کرده اند. کاربران QNAP NAS در سراسر جهان از روز دوشنبه و پس از بهره برداری با باج افزاری به نام Qlocker توسط مهاجمین و سوءاستفاده از آسیب پذیری های رایانه های آنها، متوجه شدند که فایلهایشان بدون اطلاع رمزگذاری شده است.

در حالی که اکثر گروه های باج افزاری مدت زمان زیادی را صرف تولید بدافزار خود می کنند تا آن را قدرتمند، مملو از ویژگی منحصر بفرد و در مقابل دفاع سایبری ایمن سازند، گروه Qlocker هیچگونه نیازی به این اقدامات پیشگیرانه و توسعه دهندگی پیدا نکرد. در عوض، آنها دستگاه های QNAP را که به اینترنت متصل شده بودند، اسکن کرده و آنها را با نقص هایی که به تازگی کشف شده بودند، دستکاری کردند.

به گزارش هکینگ نیوز، عوامل این حملات توانستند با سوءاستفاده ها از راه دور از ابزار بایگانی 7zip بهره برده و بر روی فایل های قربانیان در دستگاه های ذخیره سازی NAS برای رمزگذاری استفاده کنند. آنها با استفاده از یک الگوریتم رمزنگاری آزمایش که در ابزار بایگانی 7zip تعبیه شده بود، تنها در مدت پنج روز توانستند بیش از هزار دستگاه را رمزگذاری کنند. برای دسترسی به همه رایانه های یک قربانی و فاش نکردن اطلاعات سرقت شده آنها، باج افزارهایی که سازمان ها را هدف قرار میدهند، به طور معمول پرداخت باج از صد هزار تا 50 میلیون دلار را مطالبه میکنند.

از طرف دیگر Qlocker مخاطبان متفاوتی را انتخاب کرده است: مشتریان و شرکت های کوچک و متوسط (SME) ​​که از کامپیوترهای QNAP NAS برای ذخیره سازی شبکه استفاده می کنند. به نظر می رسد عوامل مهاجم درک خوبی از اهداف خود دارند زیرا مطالبات باج آنها فقط 0.01 بیت کوین یا حدود 500 دلار با نرخ حدودی بیت کوین امروز بوده است.

از آنجایی که باج افزار Qlocker از مجموعه ای از آدرس های بیت کوین استفاده می کند که به طور معمول تغییر میکنند، شرکت بلیپینگ کامپیوتر، آدرس ها را جمع آوری کرده و پرداخت های آنها را پیگیری می کند. جک کیبل، محقق امنیت، یک ضعف کوتاه مدت و مقطعی را کشف کرده است که به او امکان بازیابی رمزهای عبور 55 قربانی را به صورت رایگان داده است. او ده آدرس بیت کوین متفاوت از یکدیگر را جمع آوری کرد که توسط تهدیدکنندگان هنگام استفاده از این اشکال در بین قربانیان در حال چرخش بوده و آنها را با بلیپینگ کامپیوتر به اشتراک گذاشته است.

بلیپینگ کامپیوتر از آن زمان، ده آدرس بیت کوین دیگر نیز جمع آوری کرده است و تعداد کل آدرس های بیت کوین مورد استفاده عاملین تهدید Qlocker را به 20 رسانده است. 20 آدرس بیت کوین تا این زمان، پرداخت باجی در حدود 5.25735623 بیت کوین را دریافت کرده اند که معادل 258،494 دلار به پول امروز است. متأسفانه در حالی که کاربران تصمیم سختی برای پرداخت باج برای بازیابی و دسترسی مجدد به فایل های خود می گیرند، احتمالاً تعداد باج ها در آخر این هفته و هفته آینده افزایش می یابد.

این کمپین باج افزاری همچنان فعال است و روزانه قربانیان جدیدی از آن گزارش می شوند. شرکت تاکیان به کلیه کاربران توصیه مینماید برای بروزرسانی و رفع آسیب پذیری ها و دفاع در برابر این حملات باج افزاری، همه کاربران QNAP دستگاه های خود را به جدیدترین نسخه های کنسول چندرسانه ای، افزونه Media Streaming و Hybrid Backup Sync ارتقا دهند. از این طریق همچنین کاربران می توانند از دستگاه های NAS خود محافظت کنند تا امکان انجام حملات احتمالی دشوارتر صورت پذیرد.

افزایش حملات به شرکت های کوچک و متوسط و ناآگاهی کاربران

 

حملات سایبری به طور مکرر و بسیار جدی به ویژه بر شرکت های کوچک و متوسط (SME)، روند فزاینده ای را از خود نشان میدهند. متخصصان حوزه امنیت سایبری ارزیابی کرده اند که حملات سایبری در 5 سال آینده بیش از 5 تریلیون دلار هزینه به سازمان ها و نهادها تحمیل خواهد کرد.

ساده انگارانه است اگر تصور کنید که سرمایه گذاری های مستقل و هدف گذاری شده، تمرکز خود را از مجرمان سایبری دور نمایند، اما به طرز بسیار نامطلوبی، این نکته نمی تواند دور از حقیقت باشد. هر ساله تعداد زیادی از سازمان های کوچک قربانی حملات برنامه های مبتنی بر وب می شوند، بدین معنی که وقتی مجرمان برای دسترسی به سرور یا پایگاه داده از آسیب پذیری های کدگذاری سوءاستفاده می کنند، این نوع تهدیدات مخرب سایبری به عنوان برنامه های مبتنی بر وب شناخته می شوند.

به گزارش سایت ریکان‌ویت‌می، در مقایسه با حملات علیه سازمانهای بزرگتر، تعداد این حملات کمتر به نظر می رسد زیرا آنها معمولاً دارای یک تیم امنیتی داخلی هستند که به طور مداوم امنیت این نهادها را تامین میکنند و حتی اگر حمله ای صورت گیرد، توسط اخبار و دستگاه های رسانه های اجتماعی تحت پوشش قرار می گیرند، در حالی که حمله به شرکت های کوچکتر مورد توجه قرار نمی گیرد و تحت حمایت چندانی قرار نمیگیرند. این می تواند به نهادهای سرمایه گذاری خصوصی این احساس ناخوشایند را بدهد که همه دنیا در شرایط ایده آلی قرار دارند که از امنیت سایبری کافی برخوردار هستند. با این حال، شرکتهای کوچک در بیشتر موارد نسبت به شرکتهای بزرگ ناتوانتر هستند زیرا دارای سرمایه کمتری جهت اعمال تعهد امنیتی هستند.

 

مخاطرات قرار گرفتن تحت حملات سایبری

حملات سایبری خطری واقعی برای شرکتهای خصوصی هستند. این موضوع توسط موسسه پونمون در سال 2018 از طریق یک نظرسنجی بزرگ در زمینه امنیت سایبری تأیید شد. این بررسی شامل 1،045 سازمان کوچک و متوسط ​​در ایالات متحده آمریکا و انگلیس است.

در اینجا به برخی از یافته های اساسی اشاره شده است:

67% از پاسخ دهندگان در سال 2018 حداقل یک بار متحمل حمله سایبری شده اند. (در مقایسه با 61٪ در سال قبل).

کمی بیشتر از نیمی از پاسخ دهندگان که اطلاعات خود را از دست داده بودند و ادعا کردنده اند دلیل آن خطای کاربر انسانی ناآگاه یا یک کاربر بیرون از سازمان است.

سهم عظیمی از پاسخ دهندگان با حمله مهاجمان یا بدافزار مواجه شدند که مانع یافتن علت این اختلال یا مشکل آنتی ویروس سازمان آنها شده است.

دستگاه های تلفن همراه آسیب پذیرترین نقاط ورودی به شبکه های رایانه ای شرکت ها محسوب میشوند.

 

نوع حملات

  • بدافزار: بدافزار نام جمعی برای تعدادی از انواع نرم افزارهای مخرب است، از جمله ویروس ها، باج افزارها و جاسوس افزارها. اختصاریست برای نرم افزارهای مخرب؛ بدافزار به طور معمول شامل کدی است که توسط مهاجمان سایبری تهیه شده و برای آسیب رسانی گسترده به داده ها و سیستم ها یا دستیابی غیر مجاز به شبکه طراحی شده است.
  • فیشینگ: فیشینگ یک جرم سایبری است که در آن هدف یا هدفهای حملات، از طریق ایمیل، تلفن یا پیام متنی توسط شخصی که در شکل یک نهاد و سازمان قانونی برای جلب افراد جهت ارائه داده های حساس مانند اطلاعات شناسایی شخصی، اطلاعات بانکی و کارت اعتباری و رمزهای عبور است، مورد هجمه قرار میگیرند.
  • عدم پذیرش حملات مدیریتی: حمله ای برای خاموش کردن دستگاه یا شبکه که آن را برای کاربران مورد نظر خود غیرقابل دسترسی می کند. حملات DoS جهت نیل به هدف خود، با ارسال حجم زیادی ترافیک یا ارسال اطلاعات، باعث از دسترس خارج شدن آنها می شوند. در هر دو مورد، حمله DoS کاربران مجاز (کارمندان، اعضا یا دارندگان حساب) را از سرویس یا منابعی که امکان دریافت خدمات داشته اند، محروم می کند.
  • حملات مرد میانی یا Man-in-the-center: در حمله مرد میانی، یک هکر خود را در بین تو مرکز تبادل داده قرار میدهد تا اطلاعات را گردآوری و سرقت نماید.
  • تزریق SQL: این حمله شامل کدهای مخربی است که در یک عملگر SQL اعمال می شود (نوعی برنامه ریزی مدیریت پایگاه اطلاعات ایجاد شده توسط مایکروسافت).
  • سوءاستفاده Zero-day: این مورد حمله ای است که بین زمان آشکار شدن ضعف و تا رفع شدن آن اتفاق می افتد.

حملات می تواند از داخل یا خارج سازمان شما به وقع بپیوندد: حملات در داخل به طور منظم توسط نفرات ناسالم عضو مجموعه اجرا می شود. حملات بیرونی نیز ممکن است توسط کلاهبردارانی که در هر جای کره زمین یافت می شوند، انجام شود. حتی برخی از آنها ممکن است توسط agent های شرکت های دولتی انجام شوند.

 

تاثیر این حملات بر مشاغل کوچک

در یک حمله سایبری، پارامترهای متعددی میتوانند بر یک کسب و کار تاثیر بگذارند:

  1. آسیب رسیدن به یا از دست دادن اطلاعات الکترونیکی و دیجیتال: یک حمله می تواند به اطلاعات دیجیتالی موجود در رایانه های شخصی شما آسیب برساند. برای مثال یک آلودگی (بدافزار) می تواند سوابق تجاری شما را از بین ببرد، که به طبع تولید مجدد آنها یک چرخه طولانی و انرژی بر است که شامل تفکیک کردن مستندات و اطلاعات قدیمی است.
  2. هزینه های اضافی: این حملات برای ادامه روند کار ممکن است هزینه های اضافی ایجاد کنند. مثلا یک هکر به دو رایانه شخصی آسیب می رساند و شما را مجبور به جایگزینی دو ایستگاه دیگر می کند تا حداقل بتوانید تجارت خود را تا زمان برطرف شدن مشکل آنها رایانه های اسیب دیده، ادامه دهید.
  3. از دست دادن درآمد: ممکن است دچار مشکلات مالی و کاهش سرمایه شوید. به طور مثال حمله به زیرساخت مدیریتی، شما را وادار می کند تا تجارت خود را به مدت دو روز تعطیل کنید. این تعطیلی دو روزه باعث می شود هم درآمد و هم مشتری خود را از دست بدهید.
  4. مشکلات حقوقی امنیت شبکه و حریم خصوصی آن: به احتمال زیاد یک مجرم دیجیتال اطلاعات را از ساختار رایانه شما به سرفت میبرد و آن اطلاعات در اختیار طرف دیگری قرار میدهد (مثلا مشتری خاص خود)؛ این جمع آوری اطلاعات ممکن است باعث ثبت شکایت از شرکت شما و متهم شدنتان بشود. برای مثال یک برنامه نویس اطلاعات مربوط به تغییرات یا اقدامات آینده مشتری را می گیرد. این اطلاعات به دلیل سرقتی که رخ میدهد در اختیار یک هکر قرار میگیرد. متعاقبا مشتری از شما به اتهام اینکه بی احتیاطی شما باعث ایجاد یک ضرر مالی در سازمانش شده است و عدم توانایی در تأمین اطلاعات شکایت می کند.
  5. ضررهای تحمیلی: یک هکر کلاه سیاه اطلاعات حساس (شما یا شخص دیگری) را می دزدد و بعد از آن از شما 50 هزار دلار به عنوان باج مطالبه مینماید و در غیر اینصورت اقدام به ارسال آن اطلاعات در اینترنت می کند. سپس دوباره، شما به طور تصادفی باج افزاری را بارگیری می کنید که اطلاعات شما را رمزگذاری می کند و آن را غیرقابل دسترس و استفاده مینماید. مهاجم در ازای ارائه رمز الکترونیکی، تقاضای پرداخت پول می کند تا به شما امکان بدهد که به فایل های رمزگذاری شده دسترسی پیدا کنید.
  6. هزینه های اطلاع رسانی: همچنین به عنوان هزینه های اخطار نیز شناخته می شود؛ اکثر کشورها قوانینی را تصویب کرده اند که شما را ملزم مینماید تا به افرادی که اطلاعاتشان در زمان در اختیار داشتن آنها توسط شما مورد حمله قرار گرفته است، مشاوره و خدمات ارائه دهید. به همین ترتیب شما ملزم خواهید بود که در مورد گام هایی که نیاز است و در راستای حل مشکلات برمی دارید، اشاره کنید.
  7. آسیب رسیدن به اعتبار شما: یک حمله سایبری می تواند به شدت به جایگاه و اعتبار سازمان شما آسیب برساند. مشتری های احتمالی ممکن است از کار با شما خودداری کنند، زیرا اعتماد شما به چالش کشیده شده است و سازمان شما از کنترل ساختار داخلی خود ناتوان است یا حتی هرگونه ارتباط گرفتن و رابطه داشتن با شرکت شما به جایگاه و اعتبار آنها آسیب می رساند.

افشای ارتباط گروه تحت حمایت دولت و باج افزار Hades با حملات اخیر مایکروسافت Exchange

 

کارشناسان امنیتی، باج افزار Hades و گروه تحت حمایت دولت با نام Hafnium را که در پشت پرده حملات اولیه به سرورهای Microsoft Exchange بوده است، با یکدیگر مرتبط دانسته اند.

پرسنل این باج افزار همچنین مسئول حملات به یکی از بزرگان صنعت حمل بار با نام فوروارد ایر و تعداد انگشت شمار دیگری از شرکت ها بوده اند. این مسئله مرتبط با گروه عملیاتی روسی بدنام فعال در زمینه جرایم سایبری با نام اویل کورپ (Indrik Spider) بوده است که به شکل گونه جدیدی از باج افزار WasterdLocker خود، که برای کمک به گروه های دور زننده تحریم هایی که موجب دلسردی و انصراف قربانیان از پرداخت هزینه ها می شود، طراحی شده است.

با این حال ، گزارش جدیدی از اویک سکیوریتی، ادعا می کند دامنه ای را برای command-and-control در حمله Hades در ماه دسامبر سال 2020، درست قبل از کشف حملات سرور Zero-day Exchange پیدا کرده است.

جیسون بویس، معاون اویک سکیوریتی، توضیح داد: "تیم ما پس از به خطر افتادن و رمزگذاری جهت بررسی وضعیت حادث شده، ورود کردند و در این مورد خاص، دامنه هافنیوم به عنوان عامل ایجاد خطر در طی حمله Hades شناسایی شد".

وی افزود: "علاوه بر این ، این دامنه با یک سرور Exchange مرتبط بود و در روزهای منتهی به حادثه رمزگذاری برای command-and-control استفاده می شده است".

وی همچنین ادعا کرد که در کل دو احتمال وجود دارد: یک عامل تهدید کننده بسیار حرفه ای، در پوشش Hades در در این کار دست دارد و یا اینکه چند گروه مستقل به دلیل ضعف امنیتی، به طور تصادفی از همان محیط استفاده می کنند.

یافته های دیگر Hades را به عنوان یک گروه باج افزار غیرمعمول معرفی و مشخص می کند. تعداد بسیار کمی از قربانیان شناسایی شده اند و بیشتر به نظر می رسد از بخشهای صنایع تولیدی باشند.

بویس همچنین به "پیچیدگی بسیار کمی" در سایت های نشت راه اندازی شده توسط این گروه اشاره کرد، شامل حساب توییتر خود، صفحه ای در هک‌فرومز و صفحات پیج‌بین و هیست‌بین که متعاقبا حذف شده اند.

وی افزود: "همانطور که متخصصین این دست حوادث می دانند، برای عاملین و گردانندگان باج افزار بسیار معمول است که سایت هایی را برای نشت داده های خود ایجاد کنند، اما آنچه در مورد Hades جالب بود این است که آنها از روش هایی برای نشت و سایت های خود استفاده کردند که معمولا در مدت زمان بسیار کوتاهی از دسترس خارج شده اند".

"ما می دانیم که عامل حملات مبلغی در حدود 5 تا 10 میلیون دلار به عنوان باج درخواست کرده و جالب اینکه در پاسخ‌دهی به افراد، بسیار کند عمل میکند. در بعضی موارد، ممکن است اصلاً پاسخی نداده باشند. در موردی نیز، یکی از کاربران توییتر حتی اعلام کرده است "TA هرگز پاسخ نمی دهد". اگر فقط چند سازمان مورد حمله قرار گرفته بودند، چرا باید پاسخگویی به درخواست های باج برای این همه مدت طولانی زمان ببرد؟ آیا انگیزه بالقوه دیگری در این حمله وجود داشته است؟ چرا از آن زمان تا کنون خبری از Hades نبوده است؟".

بویس همچنین خاطر نشان کرد که داده های فاش شده در سایت ها بسیار کمتر از اطلاعاتی است که در اصل گروه به سرقت برده است، که مربوط به مراحل دقیق و جزئیات تولید است.

این گزارش همچنین به بازماندگان فعالیتهایی در گروه باج افزاری TimosaraHackerTerm (THT) در برخی از محیط های کاربری قربانیان Hades، چند هفته قبل از سری حملات ثانویه اشاره داشت. این موارد شامل استفاده از Bitlocker یا BestCrypt برای رمزگذاری، اتصال به آدرس IP کشور رومانی و استفاده از VSS Admin برای پاکسازی نسخه های shadow copy در دستگاه اصلی است.

باج افزار Lorenz، تهدید امنیتی جدید برای سازمان ها

 

یک تهدید امنیتی دیگر در اکوسیستم باج افزاری به قصد هدف قرار دادن مشاغل و شرکت ها ظاهر شده است. این بدافزار که به نام Lorenz شناخته میشود، یک باج افزار جدید است که از استراتژی باج گیری مضاعف برای درآمدزایی استفاده می کند.

 

درباره بدافزارLorenz

لیتست هکنیگ نیوز گزارش داده که بلیپینگ کامپیوتر اخیراً جزئیات باج افزار Lorenz (لورنز) را که به تازگی ظاهر و شناسایی شده را به اشتراک گذاشته است. حدود یک ماه از آغاز فعالیت این باج افزار میگذرد و از آن زمان شرکت های زیادی را هدف حملات باج افزاری خود قرار داده است.

به طور خلاصه، این باج افزار درست مانند بقیه، با در اختیار گرفتن شبکه های آنها، از کسب و کارها و شرکت ها باج می گیرد. پس از آلودگی، لورنز به صورت جانبی بر روی شبکه هدف گسترش یافته و پخش میشود تا درنهایت به اعتبارنامه مدیر دامنه ویندوز برسد.

همانطور که این باج افزار گسترش می یابد، داده های رمزگذاری نشده قربانی را مرتباً اضافه و نگهداری می کند و به سرورهای خود می فرستد. به همین سادگی لورنز به لیست باج افزارهای دیگری که باج گیری دو یا سه برابری انجام می دهند، اضافه میشود.

لورنز پس از تثبیت خود و سرقت داده ها، ضمن افزودن پسوند ".Lorenz.sz40" به نام فایل ها، داده ها را رمزگذاری می کند.

گرچه همه اینها برای یک باج افزار معمول و رایج به نظر میرسد اما لورنز نیز برخی از استراتژی های منحصر به فرد را در این زمینه میتواند به نمایش بگذارد.

در ابتدا لورنز یک بدافزار سفارشی سازی شده قابل اجرا برای قربانی هدف خود ارائه داده و در سیستم هدف اجرا میکند. همچنین، گروه بدافزاری برای هر قربانی یک سایت اختصاصی پرداخت بر پایه Tor ایجاد می کند.

علاوه بر این، بدافزار برخلاف سایر باج افزارها، فرایندها یا سرویس های ویندوز را قبل از رمزگذاری از بین نبرده و غیرفعال نمیکند.

در مورد باج نیز، این باند معمولاً تقاضای زیادی و بین 500 تا 700 هزار دلار مطالبه میکند. عدم پرداخت این باج، مهاجمان را به سمت آغاز فرایند انتشار اطلاعات سرقت شده در دارک وب هدایت می کند.

در ابتدا گروه لورنز، فروش داده ها به رقبا را در اولویت قرار میدهند. سپس تا پایان مهلت پرداخت باج، شروع به بایگانی داده های محافظت شده با رمز عبور می کنند. بعد از پایان مهلت، آنها به راحتی رمز عبور را نیز منتشر می کنند و به طبع آن داده ها را در دسترس عموم قرار می دهند.

باز هم، آنچه لورنز را منحصر به فرد می کند این است که آنها نه تنها اطلاعات سرقت شده را فاش می کنند. بلکه آنها دسترسی به شبکه داخلی قربانی را نیز نشت داده و افشا میکنند.

 

ظاهرا این بدافزار نوعیThunderCrypt است

در حالی که لورنز رفتار تا حدودی متمایز از خود نشان می دهد، به نظر می رسد که این باج افزار اساساً نوع دیگری از باج افزار ThunderCrypt است.

در حال حاضر تاکنون با ادامه تجزیه و تحلیل این باج افزار، جزئیات زیاد و جدیدی در مورد لورنز در دسترس قرار نگرفته است. با این وجود در مدت زمان کوتاهی، سایت نشت و افشای اطلاعات متعلق به آنها نشان می دهد که باج افزار تا کنون حدود 12 قربانی مختلف را هدف قرار داده است. در این میان، آنها اطلاعات سرقت شده از 10 مورد را فاش و منتشر کرده اند!

بدافزار Drees Code بعد از 16 ماه هنوز هم فعال است

به نقل از سایت arstechnica ، سال گذشته کمپانی امنیتی Check Point از کشف بدافزاری به نام DressCode خبر داد که از موبایل قربانی، یک بات نت ساخته و امکان کنترل آن را برای هکرها فراهم می کردTakian.ir - DressCODE malware.این بدافزار خود را در قالب اپلیکیشن های سالم و عمدتا کودکانه پنهان ساخته اما پس از نصب به سیستم عامل نفوذ کرده و از فعالیت های کاربر جاسوسی می کند. حتی در صورت نفوذ بیشتر بدافزار مذکور می تواند به شبکه های خصوصی کاربر نیز دسترسی پیدا کرده و اطلاعات مهم را برای خود ارسال کند.اکنون و پس از گذشت 16 ماه از شناسایی DressCode یک هکر ثابت کرده که این بدافزار کماکان به فعالیت خود ادامه داده و تاکنون حدود 4 میلیون دستگاه را آلوده ساخته است.آلوده شدن دستگاه های اندروید به این بدافزار بسیار خطرناک است چرا که با استفاده از پروتکل های SOCKS موبایل را مستقیما به هکرها متصل می کند. مهاجمان در ادامه می توانند به شبکه های خانگی یا اداری متصل شده و به دیگر کامپیوترها و سیستم های متصل نفوذ کنند.این هکر اعلام کرده است که مهاجمان از سیستم های آلوده برای اجرای تبلیغات کلیکی استفاده می کنند که سود سرشاری را نصیب آنها می کند.در حال حاضر لیست جدیدی از اپلیکیشن های آلوده به این بدافزار در گوگل پلی منتشر نشده اما بسیاری از اپ های آلوده کماکان در مارکت های شخص ثالث از قبیل APKPure در دسترس قرار دارند.سال گذشته تیم امنیت سایبری TrendLabs اعلام کرد که DressCode در بیش از 3 هزار اپلیکیشن تعبیه شده که حداقل 400 مورد از آنها در گوگل پلی منتشر شده اند. برای مثال می توان به GTA V برای بازی Minecraft: Pocket Edition اشاره کرد که در همان زمان بیش از پانصد هزار بار در گوگل پلی استور دانلود شده بود.چند ماه قبل نیز کمپانی سیمنتک اعلام کرد که بدافزار Sockbot در قالب اپلیکیشن هایی که اسکین های مختلف را برای کارکترهای بازی ماینکرفت ارائه می دهند روی دستگاه قربانی نصب شده و آن را به بات تبدیل می سازد.یکی از راه های معمول مقابله با این بدافزارها تحت کنترل درآوردن سرورهای اجرا کننده آنها است که Sinkholing نام دارد، با این حال مشخص نیست گوگل در این زمینه چه گام هایی را برداشته است، با این حال ارائه این شواهد از فعالیت DressCode کارایی راهکاری گوگل برای مقابله با بدافزارهایی از این دست را زیر سوال می برد.

بدافزار جدیدی که اطلاعات مهم را از برنامه های پیام رسان سرقت میکند

Takian.ir Malware for Android messenger apps

به گزارش سایت www.2-spyware.com، کارشناسان امنیتی یک بدافزار جدید را کشف کردند که که بدون اجازه به دستگاه‌های اندروید وارد می‌شود و اقدام به دزدی اطلاعت شخصی تایپ شده در برنامه های پیام رسان میکند. این برنامه مخرب به عنوان یک ویروس ساده ولی موثر است که قادر به پنهان کردن حضور خود در دستگاه به صورت موثر است.

این تروجان برای حفظ پایداری خود، تلاش میکند که فایل "/ etc / install-recovery.sh" را بر روی دستگاه هدف تغییر دهد. اگر این تغییر موفقیت‌آمیز باشد، ویروس با هر بار راه‌اندازی دستگاه مجددا فعال می‌شود.
به نظر می‌رسد که هدف اولیه این بدافزار، دزدیدن اطلاعات از همه پیام رسان های نصب‌شده روی دستگاه است و سپس آن را به یک Remote Server ارسال می‌کند. آدرس IP سرور ذکر شده از یک فایل پیکربندی محلی بازیابی شده‌است.این بدافزار فعالیت خود را بر روی پیام رسان های زیر به نتیجه میرساند:

  • Skype
  • Facebook Messanger
  • Twitter
  • Viber
  • Telegram Messenger
  • Line
  • Weibo
  • Tencent WeChat
  • Walkie Talkie Messenger, etc.

همان طور که مشاهده میکنید اکثر پیام رسان های محبوب در سراسر جهان به منظور استخراج اطلاعات، تحت‌تاثیر قرار می‌گیرند.

پیکربندی مبهم مانع تشخیص بد افزارهای مخرب می شود

با وجود عملکرد ابتدایی این بدافزار، متوجه میشویم که از رویکرد پیچیده‌ای برخوردار است که در هنگام گریز از تشخیص از آن استفاده می‌کند.به طور معمول نرم افزارهای امنیتی نمیتوانند این تهدید را تشخیص دهند، زیرا فایل پیکربندی و یک قسمت از ماژولهای آن را مسدود میکند. تحلیل و انالیز پویا نیز براحتی مقدور نیست زیرا این بدافزار از قابلیت های ضد شبیه سازی (anti-emulator) و اشکال زدایی (debugger) ستفاده می‌کند.
محققان امنیتی متوجه شده‌اند که بدافزار در داخل کد منبع خود، یک strings را پنهان کرده‌است تا در معرض قرار نگیرد. سرور C & C و مقادیر دیگر در یک فایل پیکربندی قرار گرفته اند که به بدافزار کمک می‌کند تا با کنترلر خود ارتباط برقرار کند.
این بدافزار اولین بار در یک برنامه چینی بنام ماژول ابری (Cloud Module) پیدا شد و از پکیجی با نام com.android.boxa استفاده کرد. با این حال، به این دلیل که هیچ فروشگاه نرم افزارهای اندروید (Play Store) در چین وجود ندارد، بسیار محتمل است که تهدید مغرضانه از طریق وب سایت‌های شخص ثالث و سایت‌های اپلیکیشن آندروید توزیع شود.

داده‌های نشت شده ممکن است برای اهداف غیر قانونی استفاده شوند

حتی اگر داده‌های جمع‌آوری‌شده ممکن است اطلاعات حیاتی مانند کلمه عبور بانکی را افشا نکنند، می‌تواند اطلاعات مفید دیگری مانند محل ملاقات، پروژه‌ها، نام‌ها و غیره را جمع‌آوری کند. این داده‌ها می‌توانند برای تعیین اهداف و گرایش‌های سازمان‌ها به کار روند.علاوه بر این، می توان آن را برای کمپین های جاسوسی یا برای کسب اطلاعات در مورد کارکنان خاص برای اجرای کمپین های فیشینگ و آلوده کردن شبکه ها با ransomware یا تهدیدات سایبری مشابه استفاده کرد.
مدیر خدمات مشاوره‌ای EMEA، آقای Neil Haskins نگران شیوه و روش شرکت‌ها و کارمندانی است که اطلاعات حساس را اداره می‌کنند:

"بسیاری از سازمان‌ها زمان، پول و منابع را صرف امنیت پلتفرم های ایمیل با آخرین و بزرگ‌ترین تکنولوژی می‌کنند. آن‌ها اسناد پالیسی های پست الکترونیکی را بیرون می‌آورند و سپس به کاربران در مورد استفاده مناسب از ایمیل آموزش می‌دهند، و فراموش می‌کنند که کارمندان نیاز دارند که اطلاعات بیشتری در خصوص پیام رسان ها دریافت ‌کنند، و در حقیقت، چون ایمیل آن‌ها را مسدود می‌کنند، آن‌ها از پیغام رسان ها برای عبور از فیلترینگ ایمیل ها استفاده می‌کنند. این طبیعت انسان است. با توجه به این حقیقت که اکثر مردم برنامه‌های پیام‌رسانی چندگانه در لب تاپ‌ها، تبلت ها و تلفن‌های همراه دارند، میبینیم که سطح حمله بسیار عظیم است."

برای اجتناب از نشت داده‌های غیر ضروری، ما به کاربران Android توصیه می‌کنیم که هرگز برنامه‌های کاربردی را از طرف ثالث دانلود نکنند و تنها از گوگل و فروشگاه های معتبر برای این منظور استفاده کنند.

بدافزاری در پوشش باج افزار؛ مایکروسافت هشدار میدهد!

 

کمپانی مایکروسافت روز پنجشنبه در مورد یک کمپین گسترده ایمیل هشدار داد که یک بدافزار مبتنی بر جاوا با نام STRRAT، در حالی که خود را به عنوان یک باج افزار نشان میدهد، برای سرقت اطلاعات محرمانه از سیستم های آلوده مورد استفاده قرار میگیرد.

تیم اطلاعات امنیتی مایکروسافت در یک رشته توییت عنوان کرد: "این RAT به دلیل اینکه اقدام به افزودن پسوند نام .crimson به فایل ها کرده و  آنها را رمزگذاری نمیکند، به رفتار شبیه به باج افزار معروف است".

به گزارش هکر نیوز، موج جدیدی از حملاتی که این شرکت هفته گذشته مشاهده کرده است، با ایمیل های هرزنامه ارسال شده از حساب های ایمیل در معرض خطر با عنوان "Outgoing Payments" که در عنوان موضوع درج شده است آغاز شده و گیرندگان را به گشودن فایل PDF مخرب که ادعا می کنند یک حواله است، ترغیب می کند اما در اصل با این کار به دامنه اصلی برای بارگیری بدافزار STRRAT متصل میشود.

این بدافزار علاوه بر برقراری ارتباط با سرور command-and-control در حین اجرا، دارای طیف وسیعی از ویژگی ها است که به آن امکان می دهد رمزهای عبور مرورگر را جمع آوری کند، لاگ کلیدهای ورودی را گردآوری کند و دستورات از راه دور و اسکریپت های PowerShell را اجرا کند.

takian.ir malware that pretends to be ransomware 1

 

STRRAT برای اولین بار در ژوئن سال 2020 توسط تیم امنیت سایبری G Data به عنوان یک تهدید بدافزاری ویندوز (نسخه 1.2) در ایمیل های فیشینگ حاوی پیوست های مخرب Jar (یا Java Archive)، مشاهده شد.

کارستن هان، تحلیلگر بدافزار G Data، توضیح داد: "این RAT متمرکز بر سرقت اطلاعات مرورگرها و سرویس گیرنده های ایمیل و رمزهای عبور از طریق ورود به سیستم است. این بدافزار از مرورگرها و سرویس گیرنده های ایمیل شامل فایرفاکس، اینترنت اکسپلورر، کروم، فاکس میل، اوت‌لوک و تاندربرد پشتیبانی می کند."

قابلیت های باج افزار آن در ابتدایی ترین حالت ممکن قرار دارد، زیرا مرحله رمزگذاری فقط تغییر نام و افزودن پسوند ".crismon" بر روی فایل ها انجام میپذیرد. کان افزود: "در صورت حذف این پسوند، می توان به طور معمول به فایل ها دسترسی پیدا کرد".

takian.ir malware that pretends to be ransomware 2

 

مایکروسافت همچنین یادآوری کرده است که نسخه 1.5 نسبت به نسخه های قبلی گیج کننده تر و ماژولارتر است، که نشان می دهد مهاجمان این عملیات به طور فعال در حال بهبود مجموعه ابزارهای خود هستند. اما این واقعیت که رفتار جعلی رمزگذاری توسط این بدافزار همچنان بدون تغییر باقی مانده است، نشان دهنده این هدف است که این گروه قصد دارند با استفاده از اخاذی، به سرعت از طریق کاربران ناآگاه سوءاستفاده و کسب درآمد کنند.

بدافزاری در پوشش نرم افزار کلاب هاوس برای رایانه های شخصی

 

با کلیک کردن بر روی تبلیغات، کاربر به وب سایت جعلی برنامه کلاب هاوس (Clubhouse) هدایت می شود که به ظاهر کاملاً معتبر به نظر می رسد اما لینک بارگیری آن باعث دریافت بدافزار می شود.

سال گذشته، در دو حادثه جداگانه و مجزا، هکرها با سوءاستفاده از تبلیغات فیسبوک به 615000 گواهی کاربری دسترسی پیدا کردند. سپس گروه معروف باج افزار Ragnar Locker با استفاده از تبلیغات فیسبوک شروع به اخاذی از قربانیان کرد.

اکنون گزارش ها حاکی از آن است که مجرمان سایبری و تهدیدکنندگان در حال ارائه تبلیغاتی در فیسبوک هستند که برنامه کلاب هاوس را برای رایانه شخصی جهت بارگیری یک بدافزار ارائه دهد. باز هم، مهاجمان از همان روش قدیمی استفاده کرده اند، زیرا نسخه رایانه های شخصی برنامه کلاب هاوس هنوز منتشر نشده است.

شایان ذکر است که مهاجمان همیشه به دنبال سوءاستفاده از محبوبیت کسب شده توسط برنامه های خاص برای جلب کاربران ناآگاه و بی گناه برای بارگیری و دانلود بدافزارها هستند. برنامه کلاب هاوس تاکنون بیش از 8 میلیون بار دانلود شده است. بنابراین ، این مورد علاقه فعلی مجرمان اینترنتی شده است.

همین چند هفته پیش در مورد بدافزار BlackRock که به عنوان نسخه اندروید از برنامه گفتگوی صوتی کلاب هاوس منتشر شده بود، گزارشاتی منتشر شد، در حالی که محققان ESET عنوان کردند هیچ نسخه اندرویدی از این برنامه منتشر نشده است و این برنامه فقط در تلفن های همراه آیفون در دسترس است.

 

کمپین تبلیغات مخرب جدید در فیس بوک

تک کرانچ گزارش داده است که از چندین صفحه فیس بوک برای ارسال تبلیغات مرتبط با برنامه کلاب هاوس استفاده می شود. وقتی کاربر روی تبلیغ کلیک می کند، وب سایت جعلی کلاب هاوس باز می شود که تصویری از نسخه PC موجود برای برنامه و لینکی برای بارگیری را نشان می دهد.

به طور معمول کاربران بی اطلاع، بر روی لینک کلیک می کنند و تصور میکنند که نسبت به دریافت نسخه قانونی برنامه اقدام کرده اند. به محض باز شدنش، برنامه با سرور C&C خود ارتباط برقرار می کند و دستورالعمل هایی را برای اقدامات بعدی دریافت می کند. طبق آنالیز تی باکس کرانچ بر روی این بدافزار، این نرم افزار مخرب، یک باج افزار را در دستگاه آلوده بارگیری میکند.

 

تاکنون نُه آگهی مختلف منتشر شده است

در مجموع نه تبلیغ از طریق پروفایل های جعلی فیسبوک بین سه شنبه و پنجشنبه گذشته ارسال شده است. در اکثر آگهی ها عنوان مشابهی ذکر شده بود که نوشته بودند: "کلاب هاوس اکنون برای رایانه نیز در دسترس است". برخی از آنها عکسی از پاول دیویدسون و روهان ست از بنیانگذاران برنامه را نیز به نمایش می گذاشتند!

بعداً این تبلیغات از مجموعه تبلیغات فیسبوک حذف شده اند اما چگونگی ورود آنها به پروفایل های کاربران و دور زدن مراحل احراز هویت فیسبوک هنوز نامشخص باقی مانده است.

takian.ir facebook ads malware clubhouse app pc

 

وب سایت های جعلی کلاب هاوس در حال حاضر آفلاین هستند

تک کرانچ همچنین اعلام کرد که وب سایت های جعلی برنامه کلاب هاوس، که در روسیه میزبانی می شدند در طی فرایندی جالب آفلاین شدند و بدافزار نیز پس از دریافت خطا از سرور، دیگر از کار افتاد. اما این جمله به هیچ وجه به معنی عدم امکان بازگشت چنین بدافزاری با ساختار و شکلی جدید جهت اجرای باج افزار نمیباشد.

 

بررسی ترفندهای بدافزارها برای دور زدن ضد باج افزارها در آنتی ویروس ها

takian.ir malware can use this trick to bypass antivirus solutions 1محققان نقاط ضعف امنیتی قابل ملاحظه ای را در برنامه های نرم افزاری مشهور شناسایی کرده اند که می تواند برای غیرفعال کردن ساختار محافظتی از آنها سوءاستفاده شود و کنترل برنامه های مجاز در سیستم کاربر را با بهره گیری از بدافزار برای عبور از سد ساختار دفاعی ضد باج افزارها، برای انجام اقدامات خطر آفرین در دست بگیرند.

این حملات دوگانه که توسط اعضای دانشگاه لوکزامبورگ و دانشگاه لندن شرح داده شده اند، با هدف دور زدن امکان محافظت از فولدرها که توسط برنامه های آنتی ویروس ارائه شده، رمزگذاری فایل ها (معروف به "Cut-and-Mouse") و غیرفعال کردن محفاظت از آنها با شبیه سازی اعمال کلیک ماوس (معروف به "Ghost Control")، انجام میشود.

پروفسور گابریل لنزینی، دانشمند ارشد مرکز بین رشته ای امنیت، اتکا و اطمینان در دانشگاه لوکزامبورگ، گفته است: "ارائه دهندگان نرم افزار آنتی ویروس همیشه سطح بالایی از امنیت را ارائه می دهند که آنها را تبدیل به یک عنصر اساسی در مبارزه روزمره با مجرمان سایبری کرده است. اما آنها در حال رقابت با جنایتكارانی هستند كه هم اكنون منابع، قدرت و همچنین تعلق خاطر بیشتری دارند".

به بیان دیگر، کمبودهای موجود در نرم افزار کاهش مخاطرات بدافزاری نه تنها نمی تواند به کد غیر مجازی اجازه دهد که ویژگی های محافظتی آنها را غیرفعال کند، بلکه نقص طراحی در امنیت فولدرهای محافظت شده که توسط تامین کنندگان و سازندگان آنتی ویروس عرضه شده است، میتواند توسط عواملی مورد سوءاستفاده واقع شود؛ مثلاً باج افزار محتویات فایل ها را با استفاده از امکان تغییر در ساختار نگارش از پیش دیده شده برای دسترسی به فولدر و رمزگذاری داده های کاربر تغییر میدهد، یا از یک ابزار پاک کننده برای از بین بردن غیرقابل بازگشت فایل های شخصی قربانیان استفاده میکند.

فولدرهای محافظت شده به کاربران این امکان را می دهند تا فولدرهایی را که به یک لایه محافظت اضافی در برابر نرم افزار مخرب نیاز دارند، مشخص کرده و بدین ترتیب دسترسی غیر ایمن به فولدرهای محافظت شده را مسدود کنند.

محققان اعلام کرده اند: "به مجموعه كمی از برنامه های موجود در لیست سفید، امتیاز تغییرات در فولدرهای محافظت شده اعطا می شود. با این حال، برنامه های موجود در لیست سفید از سوءاستفاده توسط برنامه های دیگر در امان نمیمانند. بنابراین، اعتماد کردن به این ساختار معقول نیست، زیرا یک بدافزار می تواند با استفاده از برنامه های لیست سفید به عنوان واسطه، روی فولدرهای محافظت شده، عملیات مد نظر خود را انجام دهد".

takian.ir malware can use this trick to bypass antivirus solutions 2

یک سناریوی حمله که توسط محققان کشف شد، نشان داد که می توان از یک کد مخرب برای کنترل یک برنامه معتبر مانند Notepad برای انجام عملیات نوشتن و رمزگذاری فایل های قربانی که در فولدرهای محافظت شده ذخیره شده است، استفاده کرد. برای این منظور، باج افزار پرونده های موجود در پوشه ها را بررسی کرده، در حافظه خود رمزگذاری کرده و در کلیپ بورد سیستم کپی می کند و به دنبال آن، باج افزار Notepad را راه اندازی می کند تا محتوای پوشه را با داده کلیپ بورد بازنویسی و جایگزین نماید.

محققان دریافتند که حتی در موارد بدتر، توالی حمله فوق الذکر می تواند برای بازنویسی و جایگزینی فایل های کاربر با یک تصویر تصادفی ایجاد شده توسط نرم افزار Paint (به عنوان یک برنامه قابل اعتماد)، برای از بین بردن و حذف دائمی و قطعی فایل های کاربر استفاده شود.

از طرف دیگر، حمله Ghost Control می تواند عواقب جدی و خاص خود را به همراه داشته باشد، زیرا با غیرفعال کردن حفاظت قطعی در مقابل بدافزار بوسیله شبیه سازی اقدامات کاربر قانونی که مشخصا روی رابط کاربری یک نرم افزار آنتی ویروس انجام می شود، می تواند به مهاجم و عامل حمله اجازه دهد هر برنامه غیرقانونی و مخربی را از یک سرور کنترل از راه دور مهاجم، وارد و اجرا کند.

از 29 نرم افزار آنتی ویروس ارزیابی شده در طول مطالعه، 14 مورد از آنها در برابر حمله Ghost آسیب پذیر تشخیص داده شدند؛ از سویی نیز مشخص شد که همه 29 برنامه آنتی ویروس آزمایش شده در مقابل حمله Cut-and-Mouse آسیب پذیر هستند. محققان از تامین کنندگان و سازندگان این برنامه های آنتی ویروس که تحت تاثیر این آزمایشات قرار گرفته اند، نام نبرده اند.

takian.ir malware can use this trick to bypass antivirus solutions 3

اگر چنین چیزی صحت داشته باشد، نتایج یادآور این نکته حائز اهمیت است که حتی راه حل های امنیتی که به وضوح برای محافظت از دارایی های دیجیتال یک مجموعه در برابر حملات بدافزار طراحی شده اند، می توانند از ضعف هایی رنج ببرند و به طبع هدف نهایی آنها را که همانا محافظت و تامین امنیت است، با شکست مواجه میشود. حتی در حالی که ارائه دهندگان نرم افزار آنتی ویروس به ارتقا ساختار دفاعی خود ادامه می دهند، طراحان بدافزار با بهره گیری تاکتیک های فرار و مبهم سازی، از چنین موانعی عبور کرده اند. نیازی به ذکر نیست اما حتی با استفاده از ورودی های آلوده و از طریق حملات آلوده کننده، تشخیص رفتاری نرم افزارهای تامین امنیت را سردرگم کرده و آنها را دور می زنند.

محققان اعلام کرده اند: "سازگاری و ترکیب پذیری ایمن، یک مشکل شناخته شده در مهندسی امنیت است. اجزا وقتی که جدا از هم در نظر گرفته شوند، سطح حمله مشخصی را پوشش می دهند و در مقابل هنگامی که در یک سیستم ادغام می شوند، سطح وسیع تری ایجاد می کنند. اجزا با یکدیگر تعامل دارند و با سایر قسمتهای سیستم پویایی ایجاد می کنند و از طرفی اگر توسط طراح این تدبیر پیش بینی نشده باشد، یک مهاجم نیز می تواند با آن ها در تعامل باشد".

بهره برداری هکرها از آسیب پذیری SonicWall برای حملات باج افزاری FiveHands

takian.ir fivehands ransomware

یک گروه مهاجم با انگیزه مالی، با بهره برداری از آسیب پذیری روز-صفر در دستگاه های VPN SonicWall، پیش از آنکه توسط این شرکت رفع مشکل شود، نسبت به اجرای باج افزاری جدیدی با نام FIVEHANDS اقدام نمودند.

به گزارش هکرنیوز، این گروه که توسط شرکت امنیت سایبری ماندیانت از آن با عنوان UNC2447 یاد شده است، از نقص "خنثی سازی فرمان SQL نامناسب" در محصول SSL-VPN SMA100 (CVE-2021-20016 ، CVSS score 9.8) استفاده کردند که به مهاجم ناشناس اجازه می دهد تا از راه دور نسبت به اجرای کد اقدام کند.

محققان ماندیانت گفته اند: "UNC2447 ابتدا با استفاده از باج افزار FIVEHANDS از طریق تهدید به انتشار عمومی اطلاعات در رسانه ها و ارائه داده های قربانیان برای فروش در فروم های هکرها، به شدت تحت فشار گذاشته و با اخاذی از قربانیان، کسب درآمد میکند. مشاهده شده است كه UNC2447 سازمانهایی را در اروپا و آمریكای شمالی هدف قرار داده و به طور مداوم از قابلیتهای پیشرفته برای جلوگیری از شناسایی و به حداقل رساندن شواهد حضور خود برای بررسی های بعد از عملیات نفوذ، استفاده می كند".

CVE-2021-20016 همان آسیب پذیری روز-صفر است که به گفته شرکت مستقر در سن خوزه، عوامل تهدید پیچیده، اوایل سال جاری برای انجام "حمله هماهنگ به سیستم های داخلی آن"، از این آسیب پذیری بهره برداری کردند. در 22 ماه ژانویه، خبرگزاری هکرنیوز به طور انحصاری فاش کرد که SonicWall با بهره برداری از آسیب پذیری های احتمالی روز-صفر در دستگاه های سری SMA 100 مورد نفوذ قرار گرفته است.

سوءاستفاده موفقیت آمیز از این نقص به مهاجم امکان دسترسی به اطلاعات ورود به سیستم و همچنین اطلاعات session را می دهد که می تواند از آنها برای ورود به یک دستگاه آسیب پذیر و پچ نشده سری SMA 100 استفاده کند.

طبق گفته های شرکت زیرمجموعه FireEye، گفته می شود که این نفوذها در ژانویه و فوریه 2021 اتفاق افتاده است و عامل تهدید از بدافزاری به نام SombRAT برای ماندگاری باج افزار FIVEHANDS استفاده کرده است. شایان ذکر است که SombRAT در نوامبر سال 2020 توسط محققان بلکبری و همراه با کارزاری به نام CostaRicto که توسط یک گروه هکر مزدور انجام میپذیرفت، کشف شد.

حملات UNC2447 حاوی آلودگی های باج افزاری است که برای اولین بار در ماه اکتبر سال 2020 در حملات صورت گرفته، مشاهده شده است. در این حملات، قبل از اینکه باج افزار را در ژانویه سال 2021 با FIVEHANDS جایگزین کند، ابتدا اهداف را با باج افزار HelloKitty تحت تاثیر قرار میدهد. اتفاقاً هر دو نوع باج افزار که در C++ نوشته شده اند، نسخه بازنویسی شده باج افزار دیگری به نام DeathRansom هستند.

محققان گفته اند: "بر اساس مشاهدات فنی و زمانی گسترش HelloKitty و FIVEHANDS، HelloKitty ممکن است توسط یک برنامه به طور کلی مرتبط و وابسته، از ماه مه 2020 تا ماه دسامبر 2020 و FIVEHANDS از حدود ژانویه 2021 مورد استفاده قرار گرفته باشد".

takian.ir fivehands hellokitty deathransom comparison

 

FIVEHANDS بر خلاف DeathRansom و HelloKitty، با استفاده از dropper مختص حافظه و دیگر ویژگی های اضافی که به آن اجازه می دهد شرایط دستورات را بپذیرد و با استفاده از Windows Restart Manager برای بستن فایل هایی که به تازگی استفاده شده اند نسبت به رمزگذاری آنها اقدام نماید، عمل میکند.

کمتر از دو هفته پس از اعلام فایرآی، سه آسیب پذیری ناشناخته قبلی در نرم افزار امنیتی ایمیل SonicWall، به طور فعال برای استقرار web shell برای دسترسی backdoor به دستگاه های قربانی مورد سوءاستفاده قرار گرفته اند. FireEye این فعالیت مخرب را با عنوان UNC2682 شناسایی و ردیابی می کند.

 

پرده برداری از تاکتیک استفاده شده توسط هکرهای اطلاعاتی روسی بوسیله CISA و FBI

 takian.ir russian hackers

آژانس امنیت سایبری و زیرساخت های امنیتی ایالات متحده (CISA) ، وزارت امنیت داخلی (DHS) و دفتر تحقیقات فدرال (FBI) روز دوشنبه یک گزارش مشترک جدید را به عنوان بخشی از آخرین اقدامات خود برای افشای تاکتیک ها، تکنیک ها و روش هایی (TTP) که توسط سرویس اطلاعات برون مرزی روسیه (SVR) در حملات خود علیه ایالات متحده و نهادهای خارجی از آنها بهره برده شده است، منتشر کردند.

آژانس های اطلاعاتی اعلام کردند با بکارگیری "نفوذ پنهانی تجاری در داخل شبکه های در معرض خطر، فعالیت سرویس اطلاعات برون مرزی روسیه (که شامل زنجیره تأمین مخاطرات اخیر برای SolarWinds Orion میشود) در درجه اول شبکه های دولتی ، اتاق فکر و سازمان های تجزیه و تحلیل سیاسی و شرکت های فناوری اطلاعات را هدف قرار می دهد و تلاش می کند تا اطلاعات امنیتی را جمع آوری کند".

عاملین سایبری همچنین تحت مانیکرهای مختلف از جمله Advanced Persistent Threat 29 (APT29) ،Dukes ، CozyBear و Yttrium ردیابی می شود. این پیشرفت در حالی صورت می گیرد که ایالات متحده، روسیه را تحریم کرده و هک SolarWinds و کمپین جاسوسی اینترنتی مرتبط را به طور رسمی به عوامل دولتی که برای سرویس اطلاعات برون مرزی روسیه کار می کنند مرتبط و متصل دانسته است.

APT29، از زمان آغاز تهدیدات در سال 2013، با تعدادی از حملات هماهنگ شده با هدف دستیابی به شبکه های قربانیان، جابجایی بدون امکان شناسایی در محیط های کاربری فرد قربانی و استخراج اطلاعات حساس پیوند خورده است. اما در یک تغییر محسوس در تاکتیک ها در سال 2018، این عامل از استقرار بدافزار در شبکه های هدف به سمت سرویس های ایمیل عظیم مبتنی بر فضای ابری، و این واقعیت از زمان حملات SolarWinds عیان شد که در آن عامل حملات، باینری های Orion را به عنوان یک بردار نفوذ برای سوءاستفاده از محیط های Microsoft Office 365، اهرم کرده است.

گفته می شود این شباهت در آلودگی های آینده تجارت ها، با سایر حملات مورد حمایت سرویس اطلاعات برون مرزی روسیه، از جمله در نحوه انتقال جانبی دشمن از طریق شبکه ها برای دسترسی به حساب های ایمیل، علی رغم اقدامی ویژه در روش استفاده شده برای به دست آوردن پایگاه اولیه، نقش بسزایی در نسبت دادن کمپین SolarWinds به سرویس اطلاعاتی روسیه داشته است.

آژانس خاطرنشان کرد: "در هدف قرار دادن منابع ابری احتمالاً بهره بردن از حساب های کاربری به خطر افتاده یا تنظیمات نادرست سیستم برای اختلاط با ترافیک عادی یا کنترل نشده در محیطی که سازمان های قربانی از آن به خوبی دفاع، نظارت یا مراقبت نمی کنند، احتمال شناسایی را کاهش می دهد".

از جمله برخی دیگر از تاکتیک های مورد استفاده توسط APT29 به پخش کردن رمز عبور (مشاهده شده در هنگام به خطر افتادن یک شبکه بزرگ بدون نام در سال 2018)، بهره برداری از نقص روز صفر در برابر دستگاه های شبکه خصوصی مجازی (مانند CVE-2019-19781) برای دستیابی به دسترسی شبکه و استقرار بدافزار Golang به نام WELLMESS برای سرقت مالکیت معنوی از چندین سازمان درگیر در ساخت واکسن COVID-19، میتوان اشاره نمود.

علاوه بر CVE-2019-19781، دیده شده است که عامل تهدید با استفاده از CVE-2018-13379 ، CVE-2019-9670 ، CVE-2019-11510 و CVE-2020-4006 پایگاه اولیه ای در دستگاه ها و شبکه های قربانی را بدست آورده است.

این گزارش مشترک می افزاید: "دفتر تحقیقات فدرال و وزارت امنیت داخلی به ارائه دهندگان خدمات توصیه می کنند سیستم های تأیید اعتبار و تأیید کاربر خود را برای جلوگیری از سوءاستفاده از خدمات خود تقویت و بروزرسانی کنند". از طرفی دیگر همچنین از مشاغل خواسته شده است شبکه های خود را در برابر احتمال به خطر افتادن با نرم افزارهای مورد اعتماد عموم، محافظت کنند.

جدیدترین حمله هکرها به کاربران لینکدین با بدافزار More_eggs

takian.ir hackers targeting professionals with more eggs alware via linkedIn job offers 1

به گفته محققان ، عوامل مهاجم از فایل های زیپ شده برای فریب کاربران لینکدین (LinkedIn) برای اجرای More_eggs Backdoor استفاده می کنند.

رسانه اجتماعی متعلق به مایکروسافت برای افراد متخصص با نام لینکدین، دارای بیش از 740 میلیون کاربر از 200 کشور در سراسر جهان می باشد. همین امر، آن را تبدیل به هدفی سودآور برای مجرمان و اخاذان اینترنتی می کند. در جدیدترین مورد، فعالان لینکدین توسط یک کمپین فیشینگ مورد هدف قرار می گیرند که اقدام به اجرای More_eggs Backdoor می نماید.

واحد واکنش تهدیدات سایبری (TRU) در ای سنتایر که یک شرکت امنیت سایبری مستقر در واترلو شهر انتاریو کانادا میباشد، یک کلاهبرداری غیرقانونی در حال انجام با استفاده از مشاغل جعلی را کشف کرده است که سیستم های رایانه ای کاربران لینکدین را با More_eggs Backdoor بسیار خطرناک و مخرب، آلوده می کند.

 

چگونهMore_eggs Backdoor پخش میشود؟

در ماه فوریه سال 2020، محققان چک پوینت چگونگی استفاده مهاجمان از More_eggs Backdoor برای هدف قرار دادن مسئولین مبارزه با پولشویی را گزارش دادند و اعلام کردند که آنها از خدمات پیام رسانی لینکدین برای ارائه فرصت های شغلی جعلی برای گسترش بدافزار مدنظرشان سوءاستفاده می کنند.

در آن بازه زمانی، مهاجمان به عنوان شرکت های نیازمند کارمند، به عنوان محلی برای ارسال پیوندهای وب سایت در معرض خطر و مخرب به افراد جویای کار ظاهر می شدند و بعداً از طریق ایمیل آنها، پیگیری می کردند. در هر دو مورد، هدف آلوده کردن دستگاه قربانیان با استفاده Backdoor با نام More_eggs برای سرقت اطلاعات بوده است.

با این حال، این بار طبق پست وبلاگ ای سنتایر، عوامل مهاجم از فایل های زیپ شده برای هدف قرار دادن قربانیان بر اساس توضیحات وظایف و جایگاه شغلی موجود در پروفایل لینکدین کاربر، استفاده می کنند.

ای سنتایر توضیح داد که اگر به عنوان مثال شغل کاربر عضو لینکدین به عنوان "مدیر ارشد حسابداری – پوزیشین بین المللی" ذکر شده باشد ، فایل زیپ مخرب با عنوان "مدیر ارشد حسابداری – پوزیشین بین المللی" نامگذاری می شود.

پس از باز شدن فایل زیپ، دستگاه قربانی با بکدور More_eggs که در حال حاضر دستگاه های ویندوز را هدف قرار می دهد، آلوده می شود.

پس از آلوده شدن، بدافزار کنترل کامل دستگاه هدف را در اختیار می گیرد که به طبع آن، به هکرها اجازه می دهد از راه دور از دستگاه برای اهداف مخرب خود از جمله ارسال، دریافت، حذف و اجرای فایل ها استفاده کنند.

takian.ir hackers targeting professionals with more eggs alware via linkedIn job offers 2

 

خطر آلودگی به باج افزار

علاوه بر این، هکرها می توانند بدافزارهای جدیدی را نیز روی سیستم بارگذاری کنند که می تواند باعث آلودگی دستگاه به باج افزار شود و در نتیجه فایل های قربانی را قفل کرده و برای رمزگشایی آن، درخواست باج نماید. محققان هشدار می دهند که بکدور More_eggs همچنین می تواند داده ها را از دید دستگاه پنهان کرده و حساب های رسانه های اجتماعی، ایمیل ها، تاریخچه مرورگر و حتی کیف پول های رمزنگاری شده شما را در معرض خطر سرقت قرار دهد.

راب مک لئود ، مدیر ارشد واحد واکنش تهدیدات سایبری شرکت ای سنتایر در گزارشی اعلام کرده است که: "آنچه که به طور ویژه در مورد فعالیت More_eggs نگران کننده است، این سه عنصر است که آن را به تهدیدی جدی برای مشاغل و افراد فعال در زمینه تجارت تبدیل می کند".

این سه عنصر شامل موارد زیر میباشند:

  1. این بدافزار از فرایندهای عادی ویندوز برای اجرا استفاده می کند؛ بنابراین معمولاً توسط برنامه های امنیتی آنتی ویروس و مسدود کننده های خودکار به عنوان عامل مشکوک یا خطرساز شناخته نمی شود، بنابراین کاملاً پنهانی عمل میکند.
  2. گنجاندن موقعیت شغلی هدف از طریق پروفایل لینکدین در این پیشنهاد کاری مخرب، احتمال آلوده شدن کاربر به بدافزار را افزایش می دهد.
  3. از زمان شیوع بیماری کرونا و آغاز پاندمی، نرخ بیکاری به طرز چشمگیری افزایش یافته است و طبیعتا زمان مناسبی برای سوءاستفاده از افراد جویای کاری است که از یافتن شغل ناامید هستند. بنابراین جذابیت بک شغل ایده آل کاربر، بخصوص در این مقطع حساس و پرتنش، جذابیتی دو چندان پیدا میکند.

 

چرا کاربران لینکدین؟

لینکدین تقریباً از هر حرفه شناخته شده ای شامل 740 میلیون کاربر از جمله افراد مهم و دارای جایگاه های شغلی حساس مانند دانشمندان، نظامیان، مجریان قانون، فعالین صنایع دفاعی، پرسنل خطوط هوایی، پرسنل سیستم بانکداری و امور مالی و افراد سیاسی و غیره را در خود جای داده است. برای مجرمان سایبری و هکرهای مورد حمایت دولت ها، دسترسی به سیستم رایانه ای مورد استفاده توسط هر یک از این متخصصان، مانند یک معدن طلا است که میتوانند از آن برای سریعتر رسیدن به پول نقد از طریق فروش دسترسی سیستم های آنها به سایر مجرمان یا استفاده از آن برای نظارت و بررسی یا سرقت اسرار یا اطلاعات و داده های حساس، بهره برداری و سوءاستفاده کنند.

 

کاربران لینکدین چه کاری باید انجام دهند؟

شرکت توسعه امن کیان (تاکیان) به عنوان اولین و مهمترین نکته توصیه میکند که از کلیک کردن روی لینک های ارسال شده توسط افراد در شبکه های اجتماعی، خصوصاً کاربران ناشناس و مجهول، خودداری کنید. اگر مجبور و ملزم شده اید که بر روی فایل زیپ شده یا اجرایی کلیک کنید، باید به هر قیمتی از آن اجتناب کنید. اما اگر از قبل فایلی را دریافت کرده اید، حتماً آن را با یک ضد بدافزار مطمئن اسکن نمایید.

مضاف بر این، همچنین می توانید لینک ها و فایل های مخرب را در ویروس توتال اسکن کنید. در هر صورت امنیت شما در دستان خودتان است. تاکیان اکیداً توصیه می کند درباره امنیت سایبری و تهدیداتی که در پس اتصال به فضای اینترنت ممکن است شما را تهدید کند، کسب اطلاعات کرده و حساسیت بخرج دهید.

چکار کنیم که شرکت یا سازمان ما طعمه ای برای حملات سایبری نشود؟

 

شرکت های کوچک و متوسط ​​یا به اصطلاح SME، ستون فقرات اقتصاد اکثر کشورها هستند. براساس آمار سازمان تجارت جهانی، در اقتصادهای توسعه یافته، شرکت های کوچک و متوسط بیش از 90% از جمعیت تجاری، 60 تا 70% از اشتغال و 55% از تولید ناخالص داخلی را به خود اختصاص می دهند. در حال حاضر این سازمان ها زیر ابری تاریک و مملو از تهدید قرار دارند، زیرا به طور فزاینده ای هدف حملات پیچیده سایبری قرار می گیرند. چه چیزی تغییر کرده است؟ و چگونه شرکت های کوچک و متوسط باید با این تهدید جدید سازگار شوند؟

 

یک تغییر ناگهانی برایSME ها، تهدیدهای جدید برای حمله سایبری

به گزارش اینفو سکیوریتی مگزین، در طول دوران، مجرمان مجازی حرفه ای به دنبال نام های بزرگ بودند: شرکت های بزرگ با موفقیت هدف قرار گرفتند و منجر به "نفوذهای کلان" شدند. در مورد باج افزارها، فیشینگ ها و انواع دیگر تهدیدها، تا همین اواخر، شرکت های کوچک و متوسط معمولاً از گزند مجرمان سایبری در امان بودند. یک گزارش نگران کننده که به تازگی چاپ شده است، نشان داده است که 43% از کل حملات سایبری، شرکت های کوچک و متوسط را هدف قرار می دهند. علاوه بر این، طبق گزارش سازمان امنیت سایبری پونمون در SMBs Report منتشر شده است، دو سوم شرکت های کوچک و متوسط در سال گذشته حداقل یک حمله سایبری را تجربه کرده اند و 63% آنها قربانی نشت داده ها در این بازه زمانی شده اند.

تهدید بزرگ دیگر برای شرکت های کوچک و متوسط، باج افزار است. نه تنها یک بار هزینه مالی، تهدیدکننده این شرکت ها است (برای نهادهای با کمتر از 500 کارمند، متوسط ​​هزینه حمله باج افزار 2.5 میلیون دلار است)، بلکه هزینه های مربوط به زمان از دسترس خارج شدن مجموعه و از دست دادن بهره وری به دلیل زمانبر بودن بهبودی بعد از حمله که در پی آن حملات حاصل میشود نیز برای سازمان ها مخرب است. تحقیقات نشان می دهد شرکت های کوچک و متوسط همچنان هدف اصلی حملات باج افزار هستند.

سوال اساسی این است که چرا این تغییر حاصل شده است؟ با توجه به اینکه شرکت های کوچک و متوسط هدف آسان تری هستند، چرا این مدت طول کشید تا مجرمان سایبری با این شدت آنها را هدف قرار دهند؟ پاسخ این سوالات در فناوری بکار رفته توسط مهاجمان نهفته است.

 

اتوماسیون: فقط برای کاربری مثبت نیست!

اتوماسیون باعث شده است که مشاغل بتوانند کارهای نیازمند به کاربر را کاهش دهند و فرآیندها را کارآمدتر، سریعتر و با هزینه کمتری انجام دهند. طولی نکشید که دقیقاً به همان دلایل مجرمان سایبری شروع به استفاده از اتوماسیون در حملات کردند.

چرا اتوماسیون تبدیل به چنین مشکل بزرگی شده است؟ راه حل های سنتی امنیت سایبری (به ویژه راه حل های امنیتی ایمیل) ابتدا باید با تهدید روبرو شوند، سپس آن را تجزیه و تحلیل کنند، سپس اعتبار آن را تأیید کنند، سپس آن را طبقه بندی کنند، و فقط در این صورت است که دفعه دیگر که چنین تهدیدی را مشاهده می کنند، می توانند آن را تشخیص دهند و آن را حل کنند. اکنون می توان حملات را به صورت خودکار انجام داد تا به طور مداوم پیشرفت کنند، به این معنی که راه حل های امنیتی حمله مشابهی را دو بار مشاهده نمی کنند. بنابراین چنین حملاتی راه حل های امنیتی که اکنون درگیر مشکلات حل این معضلات هستند، دور میزنند.

علاوه بر این، اتوماسیون فرایندی را آغاز کرده است که بعداً ایجاد چنین حملاتی را ارزان تر میکند. در نتیجه پخش و توزیع این حملات نسبتاً پیچیده به طور گسترده آسان تر شده است. در گذشته این امکان وجود نداشت؛ حملات پیچیده باید بسیار هدفمند می بودند و نیاز به تحقیقات دقیق و تنظیمات دستی داشتند، بنابراین تولید آنها نیز مستلزم هزینه بیشتر بود.

با تشکر از اتوماسیون و هوش مصنوعی (که توسط مهاجمین برای کسب اطلاعات در مورد رفتار آنلاین اهداف و ایجاد کمپین های خودکار فیشینگ مورد استفاده قرار می گیرد)، حملات پیچیده اکنون با کمترین هزینه می توانند بسیار هدفمند و در مقیاس گسترده انجام شوند. قربانیان متمول کمتری را می توان هدف قرار داد و شرکت های کوچک و متوسط را کاملاً در معرض تیررس مجرمان سایبری قرار داده است.

هدف قرار دادن شرکت های کوچک و متوسط بازار بالقوه این حملات را بسیار بزرگتر و داغ تر می کند، بنابراین تعجب آور نیست که مهاجمان به سمت هدف قرار دادن شرکت های کوچک و متوسط سوق پیدا کرده اند.

 

آنچه باید شرکت های کوچک و متوسط در مورد حمله خودکار سایبری بی اندیشند

یک مطالعه اخیر در موسسه فورستر نشان داده است که 88% از متخصصان امنیتی انتظار دارند که حملات مبتنی بر هوش مصنوعی در آینده نزدیک تبدیل به جریان اصلی حملات بشوند.

حملات اتوماسیون شده، تکنیکی جدید با پتانسیل بسیار زیاد برای ایجاد چالش های جدید هستند و بنابراین باید به گونه ای دیگر با آنها برخورد شود. روش قدیمی انجام کارها دیگر مهم نیست و واضح است که یک رویکرد تازه و موثر بسیار ضروری به نظر میرسد.

حملات جدید و پیچیده ای که بر علیه شرکت های کوچک و متوسط انجام می شود به صورت روزانه یا حتی ساعتی تولید می شوند و تحقیقات نشان می دهد راه حل های امنیتی که صرفا بر مبنای شهرت زیاد از آنها استفاده میشوند، بسیاری از حملات را تشخیص نمیدهند. اکنون زمان مناسبی برای تغییر رویکرد برای حفظ امنیت نهادهای تجاری و شغلی است؛ نگرشی که فارغ از دانش حملات گذشته باشد و بتواند امکانات و امنیتی به روز و جدید به کاربران خود ارائه دهد.

حملات جدید DDoS اکنون با Monero Ransom آغاز شده است

به گزارش سایت هکرید، پس از یک وقفه کوتاه حملات اختلال سرویس توزیع شده (DDoS) با رویکری تازه بازگشته است. از طرفی این حملات بسیار گسترده تر و ویرانگر شده اند.Takian.ir ddos attacks now launched with monero ransom notes

شرکت امنیت سایبری «Akamai» اعلام کرد که حملات اختلال سرویس توزیع شده با ویرانگری و ساز و کاری جدید، در زمینه تعداد قربانی رکورد شکنی کرده است. در روش جدید حملات اختلال سرویس از باج افزار ها استفاده میشود، به عبارتی دیگر از یک باج افزار برای دریافت باج و همزمان برای ایجاد اختلال در سیستم استفاده می شود.

 حملات اختلال سرویس از هفته گذشته افزایش چشمگیری پیدا کرده است و مشکلاتی را برای وب سایت ها ایجاد کرده اند که با اضافه کردن بار مضاعف دسترسی به سایت ها را مختل می کنند.

در حملات اختلال سرویس توضیع شده، در حدود 1.35 ترابایت در ثانیه از اطلاعات کاربران را رمز نگاری کرده و از کاربر درخواست باج می کند.

هدف از انجام این حملات فقط ایجاد اختلال نیست بلکه هکر ها به دنبال باج خواهی نیز هستند. طبق تحقیقات صورت گرفته تعدادی بالغ بر 50 هزار سیستم در معرض هک شدن هستند.

در کل حملات اختلال سرویس توزیع شده براساس ایجاد ترافیک دروغین موجبات مشکلاتی را برای مدیران سیستم رغم میزنند و از طرفی دیگر با بهره گیری از باج افزار ها به دنبال سرقت ارزهای دیجیتالی نیز هستند. همانطور که اشاره شد 50 هزار سیستم از ایمنی لازم برخوردار نبوده و نیازمند ایمن سازی هستند.

Takian.ir ddos attacks now launched with monero ransom notes code

سبک جدید و خلاقانه حملات، دريافت باج بابت توقف حملات سیل آسا

حمله درخواست باج DDoS چیست؟

حمله باج DDoS یا  Ransome DDoS (RDDoS) زمانی است که گروه های خرابکار با تهدید سازمان ها یا اشخاص به حمله distributed denial of service (DDoS) اقدام به اخاذی میکنند. طرف خرابکار مورد بحث ممکن است حمله DDoS را انجام داده و سپس با یک نوشته درخواست باج خواستار پرداخت پول جهت متوقف کردن حمله کرده، یا ممکن است ابتدا درخواست باج مبنی بر تهدید به حمله DDoS را ارسال کند. در حالت دوم، ممکن است مهاجم در اصل قادر به انجام حمله نباشد، اما عاقلانه نیست که چنین تهدیدی را پوچ تلقی کرد.

بهترین راه محافظت در برابر حملات درخواست باج DDoS یک سرویس کاهش خطرات DDoS قدرتمند است. پرداخت باج به شخص یا گروهی که تهدیدها را انجام داده است هرگز فکر خوبی نبوده و نیست.

 

حمله DDoS چیست؟
حمله DDoS تلاشی برای درگیر و شلوغ کردن منابع یک برنامه، وب سایت یا شبکه است تا کاربران قانونی نتوانند خدماتی که میخواهند را دریافت کنند. حملات DDoS دقیقاً مانند انسداد ترافیکی در آزادراه ها، سیل بزرگی از ترافیک شبکه ناخواسته را به اهداف خود سرازیر میکند. منظور از حملات DDoS "توزیع شده"، این است که آنها ترافیک را از منابع مختلف (غالباً منابع جعلی) ارسال می کنند، که این عامل، مسدود کردن آنها را دشوارتر از حمله Denial of Service (DoS) که با استفاده از یک منبع واحد است، می کند.
لازم به ذکر است که مهاجمان DDoS از تعدادی پروتکل شبکه مختلف استفاده می کنند.
حملات DDoS می تواند تأثیرات عمده ای بر عملیاتی بودن فعالیت های سازمان ها داشته باشد. برای بسیاری از مشاغل، هر بازه زمانی خرابی به معنای از دست دادن درآمد است. اگر سازمانها برای مدت زمان طولانی آفلاین باشند، ممکن است متعاقبا اعتبارشان را نیز از دست بدهند.

 

حمله DDoS باج چگونه کار می کند؟
بیشتر حملات باج DDoS با ارسال یک متن درخواست باج به هدف مورد نظر که در آن مهاجم شرکت یا سازمان را تهدید می کند، آغاز میشود. در بعضی موارد، یک مهاجم ممکن است یک حمله اعلانی کوچک انجام دهد تا جدیت خود را قبل از ارسال درخواست باج نشان دهد. اگر تهدید واقعی باشد و مهاجم تصمیم به پیگیری آن بگیرد، حمله به صورت زیر انجام می شود:

1. مهاجم شروع به ارسال ترافیک حمله به سمت هدف می کند. آنها می توانند از بات نت خود یا سرویس DDoS که برای انجام حمله راه اندازی کرده اند، استفاده کنند. چندین نفر که با هم کار می کنند نیز می توانند با استفاده از ابزار DDoS ترافیک حمله ایجاد کنند. ترافیک حمله می تواند لایه های 3 ، 4 یا 7 را در مدل OSI هدف قرار دهد.

2. برنامه یا سرویس مورد نظر تحت تأثیر ترافیک حمله قرار می گیرد و یا با افت سرعت مواجه شده، یا به کل خراب می شود.

3- حمله تا زمان اتمام منابع مهاجم ادامه می یابد، آنها به دلیل دیگری ممکن است حمله را غیرفعال کنند و یا هدف حمله قادر به کاهش مخاطرات حمله است. روش های کاهش خطر شامل محدود کردن بازه، مسدود کردن IP، blackhole routing یا سرویس محافظت DDoS باشد. سه مورد اول در برابر حملات با توزیع گسترده، دشوار است.

4- مهاجم ممکن است در خواسته های خود برای پرداخت تجدید نظر کند، حملات بعدی را انجام دهد، یا هر دو را اعمال کند.

 

به طور معمول چه چیزی در یک متن درخواست باج DDoS ذکر میشود؟
متن درخواست باج DDoS، پیامی است که از طرف عامل خرابکار به یک شرکت ارسال می شود و درخواست پول میکند، در صورت عدم پرداخت، عامل مخرب حمله DDoS را انجام می دهد. اغلب این موارد از طریق ایمیل ارسال می شوند. گاهی اوقات مهاجم چندین پیام ارسال می کند و در هر پیام جزئیات بیشتری در مورد تهدیدها یا خواسته های خاص خودشان مطرح می کنند.

تهدید
تهدید موجود در یادداشت درخواست باج حمله DDoS می تواند به چندین شکل مختلف باشد:

عامل مخرب ممکن است به اعتبار حمله DDoS قبل، هدف را به حمله دیگری تهدید کند.
آنها ممکن است بر مبنای حمله DDoS که در حال حاضر بر روی هدف در حال انجام است، درخواست باج کنند.
آنها ممکن است هدف را به حمله DDoS در آینده تهدید کنند، که ممکن است در یک زمان خاص با نامشخص انجام بپذیرد.

 

جزئیات تهدید به حمله
برای خطرناکتر جلوه دادن تهدید، ممکن است مهاجم ادعا کند که توانایی انجام حمله DDoS با اندازه و مدت مشخص را دارد. این ادعاها لزوماً درست نیستند: فقط به این دلیل که کسی ادعا می کند قادر به حمله 3 Tbps است که 24 ساعت طول می کشد، به این معنی نیست که آنها در واقع منابعی را برای انجام آن دارند.

 

وابستگی گروهی
برای افزودن اعتبار به تهدیدات خود، مهاجم ممکن است ادعا کند که به گروه های معروف هکر مانند Fancy Bear، Cozy Bear، گروه Lazarus ، Armada Collective یا دیگران وابسته است. این ادعاها ممکن است درست باشد اما تأیید آنها دشوار است. این ممکن است بلوف یا یک اقدام copy-cat از طرف مهاجم باشد.

 

تقاضای پرداخت و دستورالعمل های ارسال باج
متن درخواست باج در انواع پرداخت مختلفی تقسیم بندی می شود. پرداخت در قالب بیت کوین یک درخواست مشترک است، اما ممکن است مهاجم با ارز دیجیتال رمزپایه دیگری یا با ارز مجاز از طرف دولت (دلار ، یورو و غیره) باج مدنظرش را نیز بخواهد. به طور مشترک، آنها معمولاً مبلغ مشخصی را درخواست می کنند و دستورالعمل های تحویل پول را ارائه می دهند.

 

مهلت یا محدودیت زمانی
سرانجام برای بیان فوریت مطالبه آنها و افزایش احتمال پاسخدهی مجموعه هدف، متن درخواست باج ممکن است قبل از شروع حمله تهدید شده، یا برای اینکه حمله فعلی پایان یابد یک مهلت دشوار و محدود را برای تحویل باج معین کرده باشد. برخی از مهاجمان به ازای هر ساعت یا روز تاخیر و عبور از مهلت مقرر، ممکن مبلغ درخواستی خود را افزایش دهند.

 

آیا پرداخت باج ایده خوبی است؟
نه. گذشته از اینکه پرداخت باج مستلزم دادن پول به مجرمان است، پرداخت باج تضمین نمی کند که مهاجمان فعالیت خود را متوقف کنند. برعکس، سازمانی که باج می دهد حتی هدف مطلوب تری است: این سازمان نشان داده است که مایل است خواسته های مهاجمان را برآورده کند و بنابراین به احتمال زیاد خواسته های آینده آنها را نیز برآورده خواهد کرد.

علاوه بر این، هر چقدر مهاجم پول بیشتری بدست آورد، بهتر قادر به تأمین بودجه عملیات باج گیری خود و گسترش توانایی های خود برای حملات آینده خواهد بود.
در نهایت همیشه این احتمال وجود دارد که تهدید قابل انجام نباشد و یک سازمان برای هیچ و پوچ، پول و باج را پرداخت کند.

مشاغل در پی حملات DDoS از انها درخوسات باج میشود، باید این موارد را به مقامات مربوطه مجری قانون گزارش دهند و برای دفاع از خود در برابر حملات احتمالی، در صورت اجرای تهدیدات، ضمانت هایی را در نظر بگیرند.

 

آیا اکثر تهدیدات باج DDoS قابل انجام هستند؟
تمام تهدیدهای امنیتی باید جدی گرفته شوند. با این حال، همه تهدیدات باج DDoS واقعی نیستند. ارسال یک ایمیل کوتاه دریافت باج نسبتاً آسان است. برای انجام حملات گسترده و بزرگ DDoS، جهت نگهداری، مدیریت و فعال کردن شبکه بزرگی از دستگاههای در معرض خطر (معروف به botnet) به منابع بسیار زیادی نیاز است.
همانطور که گفته شد، بسیاری از خدمات به کارگیری و انجام حملات DDoS در دارک وب موجود است و ممکن است مهاجم برای انجام حمله با یکی از این سرویس ها قرارداد ببندد. به طور طبیعی این هزینه برای مهاجم مستلزم پرداخت پول است، که آنها می توانند از طریق تهدیدات دریافت باج DDoS، آنرا بدست آورند.
معمولاً حملات DDoS یک بازی اعداد است. خواه طرف خواستار باج، قادر به انجام تهدیدهای خود باشد یا خیر، آنها برای پرداخت و دریافت باج روی درصد کمی از اهداف خود حساب می کنند.
به جای تلاش برای ارزیابی اعتبار تهدید و احتمال حمله، ایمن ترین راه استفاده از سرویس محافظت DDoS است که می تواند یک ساختار وب یا شبکه را به هر شکل ممکن بصورت آنلاین حفظ کند.

 

تفاوت حمله باج DDoS و باج افزار چیست؟
حملات باج افزاری یکی دیگر از انواع رایج اخاذی آنلاین است. باج افزار نرم افزاری مخرب است که سیستم ها و پایگاه داده های یک سازمان را رمزگذاری می کند و آنها را غیرقابل استفاده می کند. هنگامی که رمزگذاری کامل شود، مهاجم در ازای رمزگشایی سیستم های سازمان، پول مطالبه میکند. باج افزار باید به نوعی وارد سیستم ها یا شبکه های داخلی کسب و کار شود. پیوست های ایمیل مخرب همراه با حملات فیشینگ، عامل مشترک این نوع تهدیدات است.

برخلاف حمله باج افزاری، حمله باج DDoS سیستم های یک شرکت را رمزگذاری نمی کند. این حملات فقط هدفشان، آفلاین کردن آن مجموعه است. همچنین قبل از اجرای آن نیز، نیازی به دسترسی مهاجم به سیستم های داخلی یک کسب و کار نیست. با این وجود، با داشتن محفاظت به حد کافی قوی DDoS، حمله باج DDoS نمیتواند تاثیر بسزایی بر عملکرد یک کسب و کار ایجاد نماید.

سوء استفاده از منابع کاربران با بدافزار های موجود در یوتیوب

به نقل از سایت Lowyat ، در حالی که صدها ارز مجازی (Cryptocurrencies) در بازار حضور دارد ولی در این بین بیت کوین به خاطر نوسانات قیمت شدیدش در راس توجهات قرار گرفته است. با وجود اینکه عده ای به سادگی و از طریق درگاه های مخصوص این نوع ارزها را خریداری می کنند ولی تعدادی دیگر نیز سعی دارند با روش استخراج میلیونر شوند.در حالی که صدها ارز مجازی (Cryptocurrencies) در بازار حضور دارد ولی در این بین بیت کوین به خاطر نوسانات قیمت شدیدش در راس توجهات قرار گرفته است. با وجود اینکه عده ای به سادگی و از طریق درگاه های مخصوص این نوع ارزها را خریداری می کنند ولی تعدادی دیگر نیز سعی دارند با روش استخراج میلیونر شوند.

YouTube Mining Malware Ad
البته استخراج در موقعیت های محدودی راه مناسبی به شمار می رود ولی همچنان نیازمند هزینه های فراوان و تجهیزات قدرتمند است. اما اگر از منابع بقیه مردم استفاده شود چه اتفاقی می افتد؟ بعضی ها از همین روش کمک می گیرند، آن ها درون وب سایت ها یا ویدیوهای تبلیغاتی کدهای استخراج ارز مجازی می گذارند تا از کامپیوترهای بقیه استفاده کنند.
اکنون به نظر می رسد که به تازگی این نوع کدها به ویدیوهای تبلیغاتی یوتوب هم راه یافته اند. چند روز پیش برخی از کاربران توییتر اعلام کردند که آنتی ویروس آن ها هنگام تماشای ویدیوهای یوتوب متوجه حضور بدافزار می شود و حالا مشخص گردیده که علت این اتفاق کدهای استخراج مرزی مخفی تبلیغات یوتوب است.
با توجه به اطلاعات به دست آمده، تبلیغات دارای کد جاوا اسکریپتی هستند که ارز مونرو را استخراج می کنند. بنابراین کاربران همان موقع که از تماشای محتویات وب سایت ها لذت می برند، منابع کامپیوتر خود را نیز در اختیار سوء استفاده کنندگان قرار می دهند.
هر چند گوگل گفته این نوع تبلیغات بعد از دو ساعت پاک می شوند ولی گفته های ترند میکرو چیز دیگری را نشان می دهند؛ تبلیغات آلوده بعد از چند روز و حتی تا یک هفته حذف نشده اند. اگر می خواهید شما هم طعمه این روش نشوید، حتما یک آنتی ویروس مطمئن نصب کنید.

سوءاستفاده از نرم افزار Exchange Server برای اجرای باج افزار DearCry

 

در حال حاضر، بیش از 80،000 سرور در معرض باج افزار DearCry قرار دارند. مایکروسافت نیز از مشتریان خود خواسته است تا وصله های صادر شده در هفته گذشته را نصب کنند.

هفته گذشته مایکروسافت فاش کرد که سرور Exchange Email این شرکت توسط هکرهای چینی هدف قرار گرفته است و پس از آن 30000 سازمان در سراسر جهان را در معرض خطر قرار داده است. این سازمان ها شامل سازمان بانکی اروپا (EBA) است که قبلاً تایید کرده است که هکرها در سیستم ایمیل آن نفوذ کرده بودند.

اکنون مایکروسافت عوامل تهاجمی جدیدی را شناسایی کرده است که باج افزار DearCry را بر روی سیستم هایی که به آخرین نسخه به روز نمی شوند، اجرا می کنند؛ به این معنی که سرور Exchange Email آنها هنوز بروزرسانی نشده و همچنان در معرض حمله است.

هشدارهای مایکروسافت درباره شاخه های دیگری از باج افزارDearCry

مایکروسافت هشداری را منتشر کرده است تا به کاربران Exchange در مورد آسیب های جدید باج افزار با نام DearCry هشدار دهد. براساس توئیتی که از طرف تیم امنیتی اطلاعاتی مایکروسافت منتشر شده است، هکرها برای قرار دادن باج افزار DearCry در سیستمها، سرورهای Exchange بروزرسانی ندشه موجود را هدف قرار داده اند.

به گفته مایکروسافت، هکرها به طور خاص سرورهایی را هدف قرار می دهند که هنوز در معرض چهار آسیب پذیری هستند که هکرهای حمایت شده از دولت چین از آنها سو استفاده کرده اند. توییت ذکر شده، به شرح زیر میباشد:

"ما خانواده جدیدی از باج افزارها را که پس از به خطر افتادن اولیه سرورهای Exchange بروزرسانی نشده و استفاده می شوند را شناسایی کرده و در حال حاضر آنها را مسدود کرده ایم. مایکروسافت در برابر این تهدید معروف به Ransom: Win32 / DoejoCrypt.A و همچنین DearCry محافظت می نماید".

هک سرور هافنیوم که قبلاً شناسایی شده بود، انگیزه جاسوسی داشتند. اما بالعکس، کمپانی ESET گزارش داده است که حداقل ده گروه هک تحت حمایت دولت در تلاشند تا از نقص های بروزرسانی نشده سرور Exchange سوءاستفاده کنند.

آنها شامل گروه Winniti ، Tick ، ​​Calypso ، LuckyMouse (APT27) است که قصد دارتد سرورهای Exchange را به خطر بیاندازد. در مقابل، حملات و تهاجم های تازه کشف شده به وضوح در راستای مقاصد مجرمانه پیش می روند.

کاربران سرورExchange، بروزرسانی ها را اعمال کنند

مایکروسافت همچنین با انتشار توییتی، از کاربران خواسته است تا بروزرسانی های اضطراری هفته گذشته خود را که بر سرورهای ایمیل داخلی Exchange تأثیر می گذارند، اعمال نمایند.

فیلیپ میسنر، از محققین مایکروسافت در توئیتر خود نوشت که مجرمان اینترنتی در تلاشند تا از نقایص سرور ProxyLogon Exchange  که به شدت مورد سوءاستفاده قرار گرفته است، برای نصب باج افزار DearCry استفاده کنند.

میسنر در توئیت خود نوشت: "حملات باج افزارهای که توسط کاربران انسانی و نه ربات مدیریت میشوند، از نقاط آسیب پذیر مایکروسافت Exchange برای سوءاستفاده از مشتریان بهره برداری می کنند".

این شرکت توییت کرد که کاربران مایکروسافت Defender که بروزرسانی خودکار را فعال کرده اند نیازی به اقدام ویژه ای ندارند، اما کاربران Exchange Server باید بلافاصله بروزرسانی های امنیتی را نصب نمایند.

توییت مایکروسافت

مشتریان Microsoft Defender که از بروزرسانی های خودکار استفاده می کنند برای دریافت این بروزرسانی های امنیتی، نیازی به اقدامات اضافی ندارند. مشتریان Exchange Server باید بروزرسانی های امنیتی را که در اینجا ذکر شده است، در اولویت قرار دهند. (امنیت اطلاعات مایکروسافت، 12 مارس سال 2021 میلادی)

حدود 80،000 سرور هنوز بروزرسانی نشده اند

باج افزار DearCry از رفع آسیب پذیری از طریق بروزرسانی ویندوز جلوگیری می کند و می تواند همه پرونده ها را رمزگذاری کرده و یک متن برای دریافت باج در دسکتاپ قربانی نمایش دهد. مایکروسافت یک بروزرسانی را برای جلوگیری از این آسیب، حدود ده روز پیش منتشر کرده است.

با این حال، به گفته مت کرانینگ، مدیر ارشد فناوری Palo Alto Networks، هنوز هم 80،000 سرور قدیمی بروزرسانی نشده اند. این نرخ برای هر سیستمی که به یک وصله امنیتی احتیاج دارد و به اندازه مایکروسافت Exchange بسیار پیچیده و گسترده است ، نرخ بالایی محسوب میگردد.

مت کرانینگ افزود: "در حال حاضر ما از سازمان هایی که همه نسخه های Exchange را اجرا می کنند، میخواهیم قبل از اینکه در معرض خطر قرار بگیرند، سیستم خود را بروزرسانی کنند؛ زیرا ما می دانیم که مهاجمان حداقل از دو ماه قبل از انتشار بروزرسانی مایکروسافت در 2 مارس ، از آسیب پذیری های روز صفر تا حد امکان سوءاستفاده می کردند".

سوءاستفاده مجرمان سایبری از پیامرسان تلگرام برای بدافزار ToxicEye

 

مهاجمان سایبری به طور فزاینده ای از تلگرام (Telegram) به عنوان یک سیستم command-and-control برای توزیع بدافزار در سازمان هایی سوءاستفاده می کنند، که بعدا می توانند جهت ضبط اطلاعات حساس از سیستم های هدف استفاده شوند.

محققان شرکت امنیت سایبری چک پوینت که طی سه ماه گذشته حدود 130 حمله را شناسایی کرده اند که از یک تروجان جدید از راه دور چند منظوره (RAT) به نام "ToxicEye" استفاده می کنند. در پی این مورد، آنها اعلام کرده اند: "حتی در زمان نصب یا استفاده از پیامرسان تلگرام، این سیستم به هکرها اجازه می دهد تا دستورات و عملیات مخرب را، از راه دور و از طریق این برنامه ارسال پیام، ارسال کنند".

به گزارش هکر نیوز، استفاده از تلگرام برای تسهیل فعالیت های مخرب چیز جدیدی نیست. در ماه سپتامبر سال 2019، یک سارق اطلاعات به نام ماساد استیلر پیدا شد که اطلاعات و کیف پول رمزارزها را از رایانه های آلوده با استفاده از پیامرسان تلگرام به عنوان یک کانال استخراج اطلاعات، غارت می کرد. سپس سال گذشته، گروه های مِیجکارت از همان روش برای ارسال جزئیات پرداخت هایی که سرقت شده بودند، از طریق وب سایت های در معرض خطر به مهاجمان استفاده کردند.

این استراتژی به روش های مختلف نیز جواب داده و قابل انجام است. برای شروع، تلگرام نه تنها توسط موتورهای شرکتهای تولیدکننده آنتی ویروس مسدود نمی شود، بلکه این برنامه پیامرسان به روند ناشناس ماندن کمک میکند؛ زیرا فرایند ثبت نام فقط به یک شماره تلفن همراه احتیاج دارد و در نتیجه از هر مکان در سراسر جهان به دستگاه های آلوده دسترسی می یابد.

takian.ir cybercriminals using telegram messenger for toxiceye malware

 

در آخرین کمپین کشف شده توسط شرکت امنیت اطلاعات چک پوینت، هیچ تغییر و تفاوت جدیدی دیده نشده است. ToxicEye از طریق ایمیل های فیشینگ تعبیه شده در یک فایل اجرایی مخرب ویندوز پخش شده و از تلگرام برای ارتباط با سرور command-and-control (C2) استفاده می کند و داده ها را در آن بارگذاری می نماید. این بدافزار همچنین شامل انواع سوءاستفاده هایی است که به آن امکان می دهد داده ها را سرقت نموده، فایل ها را انتقال داده و حذف کند، فرآیندها را متوقف کند، keylogger را اجرا کند، میکروفون و دوربین رایانه را برای ضبط صدا و تصویر در اختیار بگیرد و حتی فایل ها را برای باجگیری از کاربر رمزگذاری کند.

به طور ویژه زنجیره حمله با ایجاد یک ربات تلگرام توسط مهاجم آغاز می شود و قبل از اینکه آن را در یک فرم اجرایی (مثل paypal checker توسط saint.exe) وارد کند، در فایل پیکربندی RAT جاسازی می شود. سپس این فایل .EXE به یک فایل Word جهت فریب مخاطب تزریق می شود (solution.doc) که با باز شدن آن، تلگرام RAT را بارگیری و اجرا می کند (C:\Users\ToxicEye\rat.exe).

ایدان شرابی، مدیر گروه تحقیق و توسعه چک پوینت اعلام کرد: "ما یک روند رو به رشد را کشف کرده ایم که نویسندگان بدافزار از پلت فرم پیامرسان تلگرام به عنوان روند و روش جدیدی از یک سیستم command-and-control برای توزیع بدافزار در سازمان ها استفاده می کنند. ما اعتقاد داریم که مهاجمان از این موقعیت که تلگرام تقریباً در همه سازمانها مورد بصورت مجاز مورد استفاده قرار می گیرد بهره برداری کرده و از این امکان برای انجام حملات سایبری سوءاستفاده می کنند که در پی آن می توانند محدودیت های امنیتی را دور بزنند".

سوءاستفاده هکرها از آسیب پذیری بزرگ در Fortinet VPN

 

طبق گزارش سازمان تحقیقات فدرال (FBI) و آژانس امنیت سایبری و زیرساخت (CISA)، عاملین تهدیدات مداوم پیشرفته ضد دولتی، به طور فعال و فزاینده ای از نقاط ضعف امنیتی شناخته شده در Fortinet FortiOS سوءاستفاده می کنند و محصولات SSL VPN این شرکت را تحت تأثیر قرار داده و به خطر می اندازند.

اداره تحقیقات فدرال و آژانس امنیت سایبری و زیرساخت، یک بیانیه و راهنمایی مشترک برای هشدار به سازمان ها و کاربران در مورد نحوه استفاده هکرها از آسیب پذیری های مهم در Fortinet FortiOS VPN صادر کرده اند.

takian.ir hackers exploiting critical vulnerabilities in fortinet VPN

هدف آنها استقرار یک ساختار ضد دفاعی برای نقض امنیت مشاغل متوسط ​​و بزرگ در آینده است.

بر اساس هشداری که در روز جمعه صادر شده است، عاملین تهدیدات مداوم پیشرفته ضد دولتی، از نقاط ضعف شناخته شده در سیستم عامل امنیتی سایت FortiOS سوءاستفاده کرده و محصولات SSL VPN Fortinet را هدف قرار می دهند. با این حال، آژانس ها جزئیات بیشتری در مورد تهدیدات مدوام پیشرفته به اشتراک نگذاشته اند.

FortiOS SSL VPN در فایروال های مرزی استفاده می شود که مسئول ممانعت از برقراری ارتباط شبکه های حساس داخلی با دیگر اتصالات اینترنتی عمومی هستند.

 

سوءاستفاده چگونه انجام میپذیرد؟

FBI و CISA گزارش دادند كه عاملین تهدیدات مداوم پیشرفته، دستگاه ها را روی پورت های 4443 ، 8443 و 10443 اسكن می كنند تا پیاده سازی های امنیتی Fortinet را كه انجام نشده اند، پیدا كنند. به ویژه موارد مورد توجه در زمینه نقاط آسیب پذیری طبق CVE-2018-13379 ،CVE-2019-5591 و CVE-2020-12812 طبقه بندی شده است.

بسیار مرسوم است که چنین گروه هایی برای انجام حملات DDoS، حملات باج افزاری، کمپین های فیشینگ، حملات نفوذ زبان جستجوی ساختاری، کمپین های اطلاعات نادرست یا دیس اینفورمیشن، تخریب وب سایت و سایر انواع حملات، از نقایص مهم سوءاستفاده می کنند.

 

چند نکته درباره این خطا

CVE-2018-13379 یک خطای عبور از مسیر Fortinet FortiOS است که در آن، پورتال SSL VPN به یک مهاجم غیرمجاز اجازه می دهد تا فایل های سیستم را از طریق درخواست منابع طراحی شده ویژه HTTP، بارگیری کند.

نقص CCVE-2019-5591 یک آسیب پذیری پیکربندی پیش فرض است که به یک مهاجم غیرمجاز در همان ساختار زیرمجموعه شبکه اجازه می دهد اطلاعات حساس را به سادگی و با تقلید از سرور LDAP ضبط و ذخیره کند.

CVE-2020-12812 یک نقص تأیید اعتبار نامناسب در FortiOS SSL VPN است که به کاربر اجازه می دهد حتی در صورت تغییر نام کاربری، بدون اینکه از وی درخواست FortiToken (تایید اعتبار دو مرحله ای) انجام پذیرد، با موفقیت وارد سیستم شود.

 

چه کسانی در معرض خطر است؟

محققان آژانس های امنیتی خاطرنشان کردند که عاملین این تهدیدات گسترده و پیشرفته، می توانند از این آسیب پذیری ها برای دستیابی به رئوس نهادهای دولتی، فناوری و نهادهای تجاری استفاده کنند.

"به دست آوردن دسترسی اولیه، شرایط را برای عاملین این تهدیدات گسترده و پیشرفته جهت انجام حملات در آینده آماده میکند". پس از بهره برداری، مهاجمان به صورت جانبی حرکت کرده و اهداف خود را زیر نظر می گیرند.

"عاملین این تهدیدات مداوم پیشرفته ممکن است از هر کدام یا همه این CVE ها برای دسترسی به شبکه های چندین بخش مهم زیرساختی و متعاقبا دسترسی به شبکه های اصلی به عنوان دسترسی مقدماتی و بنیادی برای دنبال کردن و پیگیری اطلاعات یا حملات رمزگذاری داده ها استفاده کنند. عاملین این تهدیدات مداوم و پیشرفته، ممکن است از CVE های دیگر یا تکنیک های متداول بهره برداری (مانند فیشینگ) برای دستیابی به شبکه های زیرساختی حیاتی برای تعیین موقعیت و جایگاه اولیه برای حملات بعدی استفاده کنند".

ارائه بروزرسانی برای رفع اشکالات به تغییراتی در ساختار اصلی نیاز دارد و شبکه سازمان ها باید بیش از یک دستگاه VPN داشته باشند. ممکن است سیستم برای زمانی غیرفعال شود و ممکن است کار کسانی که به VPN شبانه روزی احتیاج دارند، دچار اختلال شدیدی شود. با این حال، خطر فعالیت های جاسوسی یا باج افزار به مراتب بسیار بیشتر از این دست موارد است.

ضبط سرورها و محدودیت حساب بیتکوین باج افزار DarkSide بعد از حمله به زیرساخت های سوخت ایالات متحده

 

باند بدافزار DarkSide در پشت حمله سایبری اخیر به Colonial Pipeline بوده است اما مشخص نیست که چه کسی در پشت پرده اختلال در زیرساخت های سایبری DarkSide بوده است.

گروه مجرمان سایبری باج افزار DarkSide که باعث بروز وقفه ای شش روزه در خط لوله Colonial Pipeline در هفته گذشته که منجر به کمبود سوخت و افزایش قیمت در سراسر ایالات متحده شده بودند، در حال پایان دادن به آن هستند.

این باند مجرمین اعلام کرد پس از آنکه سرورهای آنها ضبط شد و همچنین در پی درز اطلاعات حساب رمزارز این گروه توسط عاملان ناشناس، که برای پرداخت های خود از آن استفاده میکردند، عملیات خود را متوقف می کند.

در صورت دسترسی از طریق TORبه دارک وب و بررسی آدرس سایت DarkSide، اعلانی نمایش داده میشود که اعلام میکند این آدرس قابل یافتن نیست.

takian.ir bitcoin servers darkside ransomware gang seized 1

پیامی که توسط این گروه ارسال شده، بدین مضمون است: "چند ساعت پیش، ما دسترسی به بخش عمومی زیرساخت های خود را از دست دادیم".

در ادامه این پیام توضیح داده است که این خسارت بر وبلاگ قربانیان که اطلاعات سرقت شده از قربانیانی که از پرداخت باج خودداری کرده اند، منتشر می شود، تأثیر گذاشته است.

این حمله همچنین سرور پرداخت آنها و مواردی که ویژگی DoS آن را تأمین می کنند و برای تهییج کردن قربانیانی که از پرداخت باج ممانعت میکنند، مورد استفاده قرار میگرفته، از کار انداخته است.

این بروزرسانی همچنین ادعا میکند که سازمان دهندگان DarkSide در حال انتشار ابزارهای رمزگشایی برای تمام شرکت هایی هستند که تحت حمله باج افزاری قرار گرفته اند، اما هنوز هزینه ای پرداخت نکرده اند.

در این دستورالعمل ها آمده است: "پس از آن، شما آزاد خواهید بود هر کجا که خواستید با آنها ارتباط برقرار کنید".

takian.ir bitcoin servers darkside ransomware gang seized 2

همانطور که توسط برخی از متخصصان، به ویژه Intel471 اعلام شده است، برخی از اعضای اصلی DarkSide نیز با باند REvil گره خورده اند. جای تعجب نیست که برخی از متن های جزئیات پیام توسط DarkSide ظاهراً توسط یکی از رهبران پلتفرم سرویس باج افزار REvil نوشته شده است.

به گفته برایان کربس، نماینده REvil گفته است که برنامه آن ایجاد محدودیت های جدید در سازمان هایی است که شرکت های وابسته آنها می توانند هدف حملات باج افزاری واقع شوند؛ و از این پس حمله به "بخش اجتماعی" (که به عنوان موسسات بهداشتی و آموزشی تعریف شده است) و سازمانها در "بخش دولت" (ایالت) هر کشور ممنوع است. همکاران وابسته نیز قبل از آلوده کردن قربانیان ملزم به دریافت تأییدیه می شوند.

در زمان انتشار این مقاله، هنوز مشخص نبود که چه کسی وب سایت Darkside را مجبور به قطع ارتباط وب کرده و چه کسی پشت تخلیه حساب رمزنگاری شده آنها است.

کاربران خانگی آماج اصلی باج‌افزارها

باج‌افزار تمام داده‌ها را برروی رایانه یا دستگاه تلفن همراه رمزگذاری کرده و دسترسی مالک آنها را به این داده‌ها مسدود می‌کند.Ransomware

سازندگان باج‌افزار، کاربران خانگی، کسب‌وکارها و نهادهای دولتی را مورد هجوم قرار می‌دهند و دلیل این هجوم می‌تواند عدم پشتیبان‌گیری داده‌ها، کمبود دانش امنیتی آنلاین، به‌روز نکردن نرم‌افزارها در کابران خانگی، آسیب‌پذیری سیستم‌های کامپیوتری در کسب‌وکارها و مدیریت پایگاه‌های اطلاعاتی عظیم شخصی و محرمانه توسط نهادهای دولتی باشد. باج‌افزار یک نوع نرم‌افزار مخرب (بدافزار) است که تمام داده‌ها را برروی رایانه یا دستگاه تلفن همراه رمزگذاری کرده و دسترسی مالک آنها را به این داده‌ها مسدود می‌کند. هنگامی که این آلوگی اتفاق می‌افتد، قربانی پیامی دریافت می‌کند که در آن دستورالعمل‌های چگونگی پرداخت باج (معمولا در بیت‌کوین‌ها) ارائه شده است. فرآیند اخاذی اغلب شامل محدودیت‌ زمانی برای پرداخت می‌شود. پرداخت جریمه هم باید کلید رمزگشایی را به قربانی بدهد اما هیچ تضمینی وجود ندارد که این اتفاق بیفتد.
دو نوع باج‌افزار رایج وجود دارد؛ باج‌افزار رمزگذاری که شامل الگوریتم‌های رمزنگاری پیشرفته است. این برنامه برای مسدود کردن فایل‌های سیستم و تقاضای باج است و برای دسترسی قربانی به آنها، کلیدی وجود دارد که می‌تواند محتوای مسدود شده را رمزگشایی کند.
نوع دیگر باج‌افزار مسدودکننده است که قربانی را به وسیله سیستم عامل مسدود می‌کند و امکان دسترسی به دسک‌تاپ و هر برنامه یا فایلی را غیرممکن می‌سازد. پرونده‌ها در این مورد رمزگذاری نمی‌شوند، اما مهاجمان باز هم برای کامپیوتر آلوده باج‌گیری می‌کنند.
باج‌افزار دارای برخی ویژگی‌های کلیدی است که آن را از  دیگر نرم‌افزارهای مخرب مجزا می‌کند؛ از ویژگی‌های آن رمزگذاری غیرقابل شکست است. بدان معنی که شما نمی‌توانید فایل‌ها را خودتان رمزگشایی کنید. باج‌افزار می‌تواند انواع فایل‌ها، از اسناد تا تصاویر، فایل‌های صوتی و سایر مواردی که ممکن است روی رایانه باشد، رمزگذاری کند.
همچنین باج‌افزار می‌تواند نام فایل‌ها را رمزگذاری کند، بنابراین نمی‌توان فهمید کدام اطلاعات تحت تاثیر قرار گرفته‌اند. این یکی از ترفندهای مهندسی اجتماعی است که برای جلب توجه و قربانی کردن قربانیان برای پرداخت باج استفاده می‌شود.باج افزار یک افزونه متفاوت به فایل‌ها اضافه خواهد کرد و گاهی اوقات یک نوع خاصی از آسیب، باج‌افزار را سیگنال می‌کند. باج‌افزار تصویر یا پیامی را نشان می‌دهد که نشان‌دهنده رمزگذاری شدن اطلاعات شما هست و برای بازگرداندن آنها مبلغ خاصی را از شما درخواست می‌کند همچنین درخواست پرداخت در بیت‌کوین را می‌دهد، زیرا این رمزگذاری نمی‌تواند توسط محققان امنیتی سایبری یا سازمان‌های قانونی انجام می‌شود.
معمولا این باج‌گیری‌ها محدودیت زمانی دارند تا سطح دیگری از محدودیت‌ها برای این طرح اخاذی، اضافه شود. معمولا گذشت از زمان سررسید به معنای افزایش باج است، اما این می‌تواند بدین معنا باشد که اطلاعات ناقص شده یا برای همیشه از بین رفته است.باج‌افزار همچنین از مجموعه پیچیده‌ای از تکنیک‌های گریز از آنتی‌ویروس‌های سنتی استفاده و اغلب رایانه‌های آلوده به بات‌نت را جذب می‌کند، بنابراین مجرمان اینترنتی می‌توانند زیرساخت‌های خود را افزایش دهند و حملات آینده را تقویت کنند و نیز می‌تواند به دیگر رایانه‌های شخصی متصل به شبکه محلی انتشار یابد و باعث ایجاد آسیب بیشتر شود.
اما اولین باج‌افزار در سال ۱۹۸۹ ظاهر شد. این تروجان ایدز نامیده می‌شد که امروزه عملیات modus آن را خنثی می‌کند. این باج‌افزار از طریق فلاپی دیسک پخش شد. اما ظهور بیت کوین و تکامل الگوریتم‌های رمزنگاری، باعث شد که باج‌افزار از یک تهدید جزئی که در خرابکاری‌های سایبری استفاده می‌شد، به یک ماشین پول‌سازی کامل تبدیل شود.
چرا کاربران خانگی، کسب‌وکارها و نهادهای دولتی مورد هجوم قرار می‌گیرند؟ اینکه چرا سازندگان و توزیع‌کنندگان باج‌افزار، کاربران خانگی را هدف قرار می‌دهند، دلایل متعددی دارد. زیرا کاربران خانگی پشتیبان‌گیری داده‌ها را ندارند، آموزش امنیت سایبری ندیده‌اند و ممکن است روی هر چیزی کلیک کنند. کمبود دانش امنیتی آنلاین باعث می‌شود تا مهاجمان سایبری بتوانند به راحتی دسترسی به اطلاعات‌شان داشته باشند.
کاربران خانگی حتی امنیت پایه سایبری را ندارند و نرم‌افزار خود را به روز نگه نمی‌دارند، آنها موفق به سرمایه‌گذاری در راه‌حل‌های امنیت سایبری نشده‌اند و به شانس اعتقاد دارند تا آنها را امن نگه دارد. اکثر کاربران خانگی هنوز به طور انحصاری به آنتی‌ویروس اعتماد می‌کنند تا از همه تهدیدات محفاظت شوند که اغلب در تشخیص و توقف باج‌افزار ناکارآمد هستند و بخش زیادی از کاربران اینترنتی، می‌توانند قربانیان بالقوه شوند.
اما سازندگان و توزیع‌کنندگان باج‌افزار، کسب‌وکارها را نیز به دلایل متعدد هدف قرار می‌دهند. زیرا در کسب‌وکارها پول زیادی وجود دارد، مهاجمان می‌دانند که یک آلودگی موفق می‌تواند باعث اختلال در کسب‌وکار بزرگ شود و شانس آنها جهت دریافت پول افزایش می‌یابد. سیستم‌های کامپیوتری در شرکت‌ها اغلب پیچیده و مستعد آسیب‌پذیری هستند که می‌توانند از طریق وسایل فنی مورد استفاده قرار گیرند.
بر اساس اطلاعات سایت مرکز ماهر، همچنین عامل انسانی هنوز یک مسئولیت بزرگ است که می‌تواند مورد سوءاستفاده قرار گیرد اما از طریق تاکتیک‌های مهندسی اجتماعی. باج‌افزار با نفوذ به هسته کسب‌وکار، می‌تواند نه تنها کامپیوترها را بلکه سرورها و سیستم‌ها به اشتراک‌گذاری فایل مبتنی بر ابر را نیز تحت تاثیر قرار دهد و همچنین کسب‌وکارهای کوچک اغلب آماده مقابله با حملات پیشرفته سایبری نیستند.
سازندگان و توزیع‌کنندگان باج‌افزار، نهادهای دولتی را نیز هدف قرار می‌دهند. موسسات دولتی مانند ادارات دولتی، پایگاه‌های اطلاعاتی عظیم شخصی و محرمانه را مدیریت می‌کنند که مجرمان سایبری می‌توانند آنها را به فروش برسانند. کاهش بودجه و مدیریت غیرمستقیم اغلب بر بخش‌های سایبری تاثیر می‌گذارد، همچنین کارکنان برای کشف و جلوگیری از حملات سایبری آموزش ندیده‌اند (نرم‌افزارهای مخرب اغلب از تاکتیک‌های مهندسی اجتماعی برای سوءاستفاده از ناهنجارهای انسانی و ضعف‌های روحی استفاده می‌کنند).
موسسات دولتی اغلب از نرم‌افزار و تجهیزات قدیمی استفاده می‌کنند، بدان معنی که سیستم‌های کامپیوتری آنها با حفره‌های امنیتی، پیکربندی می‌شود و مورد سوءاستفاده قرار می‌گیرند. یک آلودگی موفق تاثیر زیادی بر انجام فعالیت‌های معمول دارد و باعث اختلالات زیادی می‌شود و حمله موفقیت‌آمیز به نهادهای دولتی، جنایتکاران سایبری را برای حملات بیشتر وسوسه می‌کند.

هشدار! پخش صدها هزار صفحه هات آلوده پی‌دی‌اف در فضای وب

 

مجرمان اینترنتی به روش آلوده سازی در موتورهای جستجو متوسل می شوند تا متخصصان تجاری را سمت به سایت های به ظاهر قانونی گوگل که Remote Access Trojan (RAT) را نصب می کنند و قادر به انجام حملات گسترده هستند، هدایت کنند.

به نقل از هکر نیوز، این حمله با استفاده از جستجوی فرم های تجاری مانند فاکتورها، الگوها، پرسشنامه ها و رسیدها به عنوان سنگ بنایی برای نفوذ به سیستم ها امکان پذیر می شود. کاربرانی که سعی در دانلود فایل های از پیش طراحی شده ای دارند، بدون اطلاع خودشا به وب سایتی مخرب هدایت می شوند که بدافزارها را میزبانی می کنند.

محققان ای سنتایر در مقاله ای که روز سه شنبه منتشر شد اعلام کردند: "هنگامی که RAT روی رایانه قربانی قرار گرفت و فعال شد، مهاجمین و عوامل تهدید می توانند دستوراتی را ارسال کرده و بدافزارهای دیگری از جمله باج افزار، بدافزار سرقت گواهی، تروجان بانکی را روی سیستم آلوده بارگذاری کنند و یا به سادگی از RAT به عنوان جای پای قربانی در راستای اقدامات مخرب خود استفاده کنند".

takian.ir seemingly legitimate google sites

 

این شرکت امنیت سایبری گفت که بیش از 100000 صفحه وب منحصر به فرد و متفاوت را کشف کرده است که حاوی اصطلاحات تجاری معروف یا کلمات کلیدی مانند الگو، فاکتور، رسید، پرسشنامه و رزومه هستند که به صفحات اجازه می دهد در نتایج جستجو در رتبه بالاتری قرار بگیرند و بر این مبنا احتمال موفقیت مهاجمین را افزایش میدهد.

هنگامی که یک قربانی در وب سایتی تحت کنترل مهاجم ورود پیدا کند و فایلی را که در جستجوی آن بوده است دانلود نماید، به نقطه ای آغازی برای حملات و تهدیدات پیچیده تر تبدیل شده و در نهایت منجر به نصب RAT مبتنی بر .NET به نام SolarMarker (با نام مستعار Yellow Cockatoo ، Jupyter و پولازرت) میشود.

در یک مورد بررسی شده توسط ای سنتایر که شامل یک کارمند شرکت مدیریت مالی بود، بدافزار قابل اجرا به شکل یک فایل پی‌دی‌اف مبدل شده بود که با باز شدنش، RAT را به همراه نسخه قانونی Slim PDF به عنوان طعمه اجرا و راه اندازی می کرد.

takian.ir slim pdf as decoy

 

اسپنس هاچینسون، مدیر اطلاعات حملات شرکت ای سنتایر، گفت: "جنبه نگران کننده دیگر این کمپین این است که گروه SolarMarker بسیاری از صفحات وب مخرب خود را با کلمات کلیدی مرتبط با اسناد مالی پر کرده است".

وی ادامه داد: "یک گروه جرایم اینترنتی، کارمندی را که در بخش مالی یک شرکت کار می کند یا یک کارمند را که برای یک سازمان مالی کار می کند، یک هدف با ارزش بالا قلمداد میکند. متأسفانه، به محض اینکه RAT روی سیستمی نصب شود، پتانسیل بسیار زیادی وجود دارد که فعالیت کلاهبرداری به وقوع بپیوندد".