IPImen ، Firewall ، NGFirewall-UTM، آیپی ایمن، فایروال ایرانی ، فایروال بومی، یوتی ام بومی، یوتی ام ایرانی، فایروال نسل بعدی ایرانی، فایروال نسل بعدی بومی

Colonial Pipeline

کلمات رایج امنیت شبکه و فناوری اطلاعات IPImen

بهره گیری از حمله باج افزاری Kaseya برای تقویت کمپین Malspam

 takian.ir kaseya ransomware attack used to fuel malspam campaign 1

حمله گسترده باج افزار Kaseya که ادعا می شود حدود 1000 سازمان را تحت تأثیر قرار داده است، در حال حاضر برای ارتقای سایر حملات استفاده میشود. یکی از این دست حملات، مورد توجه محققان Malwarebytes قرار گرفته است.

 

قربانیان هدف Kaseya REvil
در یک رشته توییت توسط Malwarebytes، محققان فاش کرده اند که یک کمپین malspam از حمله باج افزار Kaseya برای استقرار Cobalt Strike بهره می برد. این می تواند عاملان تهدید را قادر به حملات بعدی کرده و حتی امکان استقرار بدافزارهای دیگر را نیز ممکن کند.
این کمپین از طریق ایمیل فیشینگ حاوی پیوستی به نام 'SecurityUpdates.exe' و همچنین لینکی که به عنوان یک بروزرسانی امنیتی جهت سواستفاده از آسیب پذیری Kaseya ظاهر می شود، انجام می پذیرد.
برای قانع کننده نشان دادن این ایمیل، در آن ادعا می شود که بروزرسانی امنیتی از جانب مایکروسافت ارائه و انجام میپذیرد.

 

درباره حمله Kaseya چه می دانیم؟
حمله باج افزار Kaseya که در تاریخ 2 ژوئیه رخ داد، یکی از حملات مخرب باج افزاری بود که در پی حملات علیه Colonial Pipeline و JBS Foods، به وقوع پیوست.
باند باج افزار REvil با سواستفاده از آسیب پذیری روز صفر در سرورهای VSA نفوذ کرده بودند.
پس از حمله، مهاجمان موفق به سرقت اطلاعات زیادی شدند و بعداً برای انتشار رمز سراسری آن، مبلغ 70 میلیون دلار را به عنوان باج مطالبه کردند.
برخی از سازمان های آسیب دیده شامل سوپرمارکت ها در سوئد و مدارس در نیوزیلند بودند. در حالی که صدها شرکت مستقیماً در معرض حمله زنجیره تأمین به نرم افزار VSA متعلق به Kaseya قرار داشتند، حداقل 36000 شرکت به صورت غیر مستقیم تحت تأثیر این حمله قرار گرفتند.

 

نکته قابل توجه
عاملان تهدید همیشه در پی دستیابی به فرصت مفید و طلایی برای رسیدن به ثروت عظیمی بوده اند و استفاده از حمله باج افزاری Kaseya، یکی از این موارد است.
پیش از این، اختلال در Colonial Pipeline باعث حمله فیشینگ "Help Desk" شد که مشتریان Microsoft 365 را هدف قرار داد. هدف نهایی این کارزار اعمال و استقرار ابزار Cobalt Strike بر روی سیستم قربانیان بود.

 

نتیجه گیری
همانطور که حمله مداوم Kaseya همچنان شرایط سختی را به سازمانها تحمیل میکند، ظهور مبارزات موازی توسط عوامل تهدید، که احتمالاً با گروه REvil مرتبط نیستند، مطمئناً مشکلات و دردسرهای بیشتری ایجاد خواهد کرد. دقت داشتن در هنگام دریافت و مطالعه نامه های الکترونیکی که بطور ناخواسته دریافت شده اند، می تواند به فرد جهت در امان ماندن از چنین حملاتی کمک کند. در همین حال، Kaseya اقدامات لازم برای رفع آسیب پذیری موثر بر سرورهای VSA خود را آغاز کرده است.

درخواست اینترپل جهت اتخاذ استراتژی های جدید در راستای كاهش خطرات باج افزارها

آژانس نقش دفاتر مركزي ملي را براي مبارزه با جرايم سايبري پر رنگ‌تر خواهد کرد.

takian.ir interpol calls for new ransomware mitigation strategy 1

اینترپل اعلام کرد که نقش دفاتر ملی مرکزی مختص کشور را برای مبارزه با باج افزارها و سایر جرایم اینترنتی تقویت و پر رنگ می کند. این بیانیه آژانس در پی افزایش تهدیدات باج افزاری به زنجیره های تأمین و زیرساخت های مهم منتشر شده است.

دبیرکل اینترپل، یورگن استوک در شانزدهمین کنفرانس سالانه INTERPOL NBC که هفته گذشته که بصورت مجازی برگزار شد، گفت: "داشتن یک استراتژی جهانی در پاسخ به تهدید باج افزار بسیار مهم است. استراتژی ای که در آن ما بتوانیم با موفقیت فضای اعتماد ایجاد می کنیم، شاهد تبادل موثر داده ها باشیم و امکان کمک فوری عملیاتی به سازمان های مجری قانون را به حداکثر ارتقا دهیم".

از جمله برنامه های پیشنهادی برای توسعه یک استراتژی جهانی جهت مقابله با تهدیدات باج افزار، گسترش شبکه ارتباطی امن اینترپل برای کمک به پلیس ملی و آژانس های کنترل مرزها در مبارزه با جرایم اینترنتی و سایر تهدیدات امنیتی است. این آژانس همچنین خواستار تقویت مشارکت های منطقه ای برای مبارزه با تهدیدهای سایبری در سطح جهانی شده است.

اینترپل از شبکه پلیس مشتمل بر 194 کشور عضو تشکیل شده است و هر یک از این اعضا میزبان NCB اینترپل هستند که به عنوان پیوندی بین آژانس و سازمان های اجرای قانون هر کشور عمل می کند.

 

توجه بر باج افزارها
باج افزارها بعد از حمله زنجیره تامین Kaseya که آخر هفته برابر 4 جولای و توسط گروه هک REVil مستقر در روسیه انجام شد و شرکت نرم افزاری مدیریت فناوری اطلاعات به خطر انداخت، همچنان در راس مخاطرات قرار گرفتند. مهاجمان یک سری عملیات فریب را برای بهره برداری از VSA (سرویس بروزرسانی خودکار نرم افزار) و استفاده از آن برای توزیع باج افزار به مجموعه 60 مشتری MSP متعلق به Kaseya انجام دادند. باج افزار سپس بین 800 تا 1500 مشتری این MSP ها، شامل فروشگاه های زنجیره ای مواد غذایی، مدارس و رستوران ها توزیع و پخش شد.

در پی حملات گسترده و عظیم به زنجیره تامین، روز جمعه، جو بایدن، رئیس جمهور آمریكا، مجدداً رئیس جمهور روسیه، ولادیمر پوتین را به اقدام علیه نهادهای مخرب خارج از كشور دعوت كرد. بایدن همچنین افزود که طبق بیانیه رسمی ارسال شده توسط کاخ سفید، دولت وی آماده است "برای دفاع از مردم خود و زیرساخت های مهم آن در برابر این حملات" اقدامات مقتضی را انجام دهد.

این دو رهبر پیش از این در 16 ژوئن در ژنو دیدار کرده بودند و در مورد اقدامات مقابله با تهدیدات باج افزار گفتگو کردند. این صحبت هادر پی حمله باج افزار May به شرکت Colonial Pipeline و حمله REvil به meat processor JBS بوده است. در این نشست، بایدن گفت که 16 بخش از زیرساخت های حیاتی باید "برای حملات سایبری و سایر انواع حملات" در لیست ممنوعه قرار بگیرند و از هرگونه حمله مبرا باشند.

 

اقدامات ایالات متحده
به دلیل ظرافت و جزییات روزافزون و تکثیر گسترده باج افزارها، دولت ایالات متحده اقدامات متعددی را برای مقابله با آنها آغاز کرده است.

روز چهارشنبه CISA ابزار ممیزی Ransomware Ready Assessment خود را برای کمک به سازمانها جهت اندازه گیری توانایی دفاع و بازیابی از حملات منتشر کرد.

در 12 ماه می سال جاری، دولت بایدن دستور اجرایی امنیت سایبری خود را صادر كرد كه هدف آن رسیدگی و حل مشکلات مرتبط با باج افزارها و سایر تهدیدهای امنیتی ایالات متحده است.

در گزارش اجلاس امنیت سایبری دولت، گروه رسانه های امنیت اطلاعاتی که در 13 جولای برگزار می شود، الویس چان از FBI پیش بینی کرده است که امسال، یک تابستان داغ و شلوغ برای تحقیقات باج افزاری، ایجاد اختلالات و تخریب سیستم ها خواهد بود.

چان، رئیس بخش سایبری FBI در سانفرانسیسکو گفت: ما تحقیقات مشترک زیادی با شرکای خارجی خود به انجام رسانده ایم. با توجه به اینکه تخریب ها و غیرفعال سازی های متعددی در سراسر کشورهای مختلف به وقوع پیوسته است، میبایست تابستان بسیار شلوغی در پیش رو داشته باشیم

ضبط سرورها و محدودیت حساب بیتکوین باج افزار DarkSide بعد از حمله به زیرساخت های سوخت ایالات متحده

 

باند بدافزار DarkSide در پشت حمله سایبری اخیر به Colonial Pipeline بوده است اما مشخص نیست که چه کسی در پشت پرده اختلال در زیرساخت های سایبری DarkSide بوده است.

گروه مجرمان سایبری باج افزار DarkSide که باعث بروز وقفه ای شش روزه در خط لوله Colonial Pipeline در هفته گذشته که منجر به کمبود سوخت و افزایش قیمت در سراسر ایالات متحده شده بودند، در حال پایان دادن به آن هستند.

این باند مجرمین اعلام کرد پس از آنکه سرورهای آنها ضبط شد و همچنین در پی درز اطلاعات حساب رمزارز این گروه توسط عاملان ناشناس، که برای پرداخت های خود از آن استفاده میکردند، عملیات خود را متوقف می کند.

در صورت دسترسی از طریق TORبه دارک وب و بررسی آدرس سایت DarkSide، اعلانی نمایش داده میشود که اعلام میکند این آدرس قابل یافتن نیست.

takian.ir bitcoin servers darkside ransomware gang seized 1

پیامی که توسط این گروه ارسال شده، بدین مضمون است: "چند ساعت پیش، ما دسترسی به بخش عمومی زیرساخت های خود را از دست دادیم".

در ادامه این پیام توضیح داده است که این خسارت بر وبلاگ قربانیان که اطلاعات سرقت شده از قربانیانی که از پرداخت باج خودداری کرده اند، منتشر می شود، تأثیر گذاشته است.

این حمله همچنین سرور پرداخت آنها و مواردی که ویژگی DoS آن را تأمین می کنند و برای تهییج کردن قربانیانی که از پرداخت باج ممانعت میکنند، مورد استفاده قرار میگرفته، از کار انداخته است.

این بروزرسانی همچنین ادعا میکند که سازمان دهندگان DarkSide در حال انتشار ابزارهای رمزگشایی برای تمام شرکت هایی هستند که تحت حمله باج افزاری قرار گرفته اند، اما هنوز هزینه ای پرداخت نکرده اند.

در این دستورالعمل ها آمده است: "پس از آن، شما آزاد خواهید بود هر کجا که خواستید با آنها ارتباط برقرار کنید".

takian.ir bitcoin servers darkside ransomware gang seized 2

همانطور که توسط برخی از متخصصان، به ویژه Intel471 اعلام شده است، برخی از اعضای اصلی DarkSide نیز با باند REvil گره خورده اند. جای تعجب نیست که برخی از متن های جزئیات پیام توسط DarkSide ظاهراً توسط یکی از رهبران پلتفرم سرویس باج افزار REvil نوشته شده است.

به گفته برایان کربس، نماینده REvil گفته است که برنامه آن ایجاد محدودیت های جدید در سازمان هایی است که شرکت های وابسته آنها می توانند هدف حملات باج افزاری واقع شوند؛ و از این پس حمله به "بخش اجتماعی" (که به عنوان موسسات بهداشتی و آموزشی تعریف شده است) و سازمانها در "بخش دولت" (ایالت) هر کشور ممنوع است. همکاران وابسته نیز قبل از آلوده کردن قربانیان ملزم به دریافت تأییدیه می شوند.

در زمان انتشار این مقاله، هنوز مشخص نبود که چه کسی وب سایت Darkside را مجبور به قطع ارتباط وب کرده و چه کسی پشت تخلیه حساب رمزنگاری شده آنها است.