سازمان FBI نحوه رمزشکنی بدافزار GandCrab را منتشر کرد

در FBI Flash Alert، FBI نسخه اصلی 4، 5، 5.0.4، 5.1 و 5.2 Gandcrab Ransomware منتشر کرده است. با استفاده از این کلید ها، هر فرد یا سازمان می تواند رمزگشایی GandCrab بسیار خود را ایجاد و منتشر کند.

در 1 ژوئن 2019، توسعه دهندگان پشت موفقیت آمیز GandCrab Ransomware اعلام کردند که پس از ادعا شدن 2 میلیارد دلار در پرداخت های جبران خساره و هک و بسته شدن 150 میلیون دلار خود، فروشگاه آنها را بسته بودند.

دو هفته بعد، در همکاری با Europol، FBI، سازمان های متعدد اجرای قانون و NoMoreRansom، Bitdefender یک رمزگشایی برای فایل های رمزگذاری شده توسط نسخه های GandCrab نسخه های 1، 4 و 5 تا 5.2 را منتشر کرد.

در حالی که اعلام نشده است که چگونه Bitdefender دسترسی به این کلیدها را به دست آورد، به طور گسترده ای در نظر گرفته شده است که آنها قادر به دسترسی به سرورهای فرمان و کنترل ransomware برای دانلود کلید هستند.

FBI اجازه می دهد تا هر کس یک decryptor GandCrab ایجاد کند

در "FBI Flash Alert" با BleepingComputer به اشتراک گذاشته شد، سه کلید رمزگشایی برای GandCrab Ransomware به اعضای برنامه InfraGard FBI منتشر شد.

بولتنهای منتشر شده توسط FBI از طریق InfraGard با استفاده از پروتکل ترافیک نور طبقه بندی میشوند که این امر نحوه به اشتراک گذاشتن اطلاعات را تعیین میکند. این هشدار با عنوان "کلید رمزگشایی Master برای GandCrab، نسخه 4 تا 5.2" به عنوان یک بولتن TLP: White منتشر شد که بدین معناست که اطلاعات بدون محدودیت قابل افشاء است.

علاوه بر کلید های رمزگشایی اصلی، بولتن توضیح می دهد که چگونه GandCrab RaaS عمل می کند و آمار مرتبط است.

"در 17 ژوئن 2019، FBI، با همکاری سازمان های اجرای قانون از 8 کشور اروپایی، و همچنین Europol و BitDefender، یک ابزار رمزگشایی را برای همه نسخه های GandCrab ransomware منتشر کرد. ابزار رمزگشایی را می توان در www.nomoreransom یافت. org. تلاش های مشترک، کلید های اصلی رمزگشایی را برای همه نسخه های جدید GandCrab که از ژوئیه 2018 معرفی شده، شناسایی کرده اند. FBI کلیدهای اصلی را برای تسهیل توسعه ابزارهای رمزگشایی اضافی باز می کند.

GandCrab با استفاده از یک مدل کسب و کار ransomware-as-a-service (RaaS) عمل می کند، فروش حق پخش تروجان را به وابستگان در عوض 40٪ از پس انداز. GandCrab ابتدا در ژانویه 2018 به شرکت های کره جنوبی آلوده شد، اما کمپانی های GandCrab به سرعت در سراسر جهان گسترش یافتند تا قربانیان ایالات متحده در اوایل سال 2018 را شامل شوند و حداقل 8 بخش مهم زیربنایی را تحت تاثیر قرار دهند. به عنوان یک نتیجه، GandCrab به سرعت در حال افزایش است تا تبدیل به برجسته ترین ریسوموار مبتنی بر وابسته شود و تخمین زده می شود که 50 درصد از سهم بازار را در اختیار دارد تا اواسط سال 2018. کارشناسان تخمین زده اند که GandCrab بیش از 500،000 قربانی را در سراسر جهان آلوده کرده است، که باعث تلفات بیش از 300 میلیون دلار می شود. "

کلید رمزگشایی استاد GandCrab

در پایین کلید رمزگشایی استاد برای نسخه های GandCrab 4، 5، 5.0.4، 5.1، و 5.2 است.

برای استفاده از آنها به درستی، شما باید خود را با روش های رمزنگاری مورد استفاده در نسخه های مختلف GandCrab آشنا کنید. مقدمه خوبی در مورد الگوریتم رمزنگاری مورد استفاده در نسخه 4 در این مقاله توسط Fortinet یافت می شود.

Vulnerabilities های خطرناک دوربین های وایرلس را میتوانند هک کنند

محققان برخی از آسیب پذیری های امنیتی جدی در دوربین های امنیتی بی سیم Arlo پیدا کرده اند. این آسیب پذیری ها می توانند یک مهاجم سایبری احتمالی را به کنترل دوربین ها برساند، بنابراین امنیت قربانیان را تهدید می کند.

اشکالات در دوربین های امنیتی بی سیم Arlo

محقق مستقل، جیمی سبرلی، برخی از اشکالات جدی امنیتی را که دوربین های امنیتی بی سیم Arlo را هدف قرار داده اند، کشف کرده است. به طور خاص، Sebree دو آسیب پذیری متفاوت را کشف کرد که می تواند به خطر افتادن امنیت خانه ها پس از بهره برداری کمک کند.

همانطور که در مشاوره Tenable توضیح داده شد، اول از این شامل مکانیسم های حمایت از UART نیست. برای بهره برداری از این نقص، مهاجم با دسترسی فیزیکی به دستگاه می تواند به پورت UART متصل شود و از اعتبار پیش فرض برای ورود به حساب کاربری به عنوان کاربر ریشه استفاده کند. مهاجم می تواند دستورات را اجرا کند و دسترسی به اطلاعات حساس را به دست آورد.

با دسترسی فیزیکی، اتصال به پورت سریال نسبتا بی اهمیت است زیرا بلافاصله کاربر را به یک فورمه ورود می اندازد. در حالی که اعتبار UART (UART_username و UART_passwd) در نوشته های nvram رمزگذاری می شود، کلید رمزگذاری در دستگاه از طریق متغیر محیط PASS_ENC (GEARNET) (که پس از بارگزاری اولیه و رمزگذاری nvram پاک می شود) بر روی دستگاه سخت افزوده می شود.

آسیب پذیری دوم به طور خاص مربوط به یک خطای شبکه است. مهاجم متصل به شبکه ایستگاه پایه Arlo می تواند به رابط شبکه داخلی دوربین دسترسی پیدا کند. در نتیجه، مهاجم می تواند کنترل دوربین آرلو را کنترل کند. همانطور که در مشاوره بیان شد،

شنونده پیش فرض http که توسط vzdaemon مستقر شده است، حاوی یک نقطه پایانی apis است که اجازه می دهد تا بارگیری یا بارگیری دلخواه فایل ها بر روی دستگاه انجام شود.

Tenable این آسیب پذیری ها را به عنوان اشکالات شدید شناسایی با نمره پایه CVSS به ترتیب 8.3 و 7.2 قرار داده است. در حالی که CVE-ID CVE-2019-3949 و CVE-2019-3950 برای آنها رزرو شده است.

فروشندگان آسیب پذیر هستند

پس از پیدا کردن آسیب پذیری، Tenable این موضوع را به فروشندگان در تاریخ 11 مارس 2019 گزارش داد. پس از همکاری مداوم، فروشندگان آسیب پذیری ها را پاکسازی کردند.

دو اشکال بر مدلهای پایه Arlo VMB3010، VMB4000، VMB3500، VMB4500 و VMB5000 تحت تاثیر قرار گرفتند. فروشندگان اصلاحات را با آخرین نسخه های سیستم عامل منتشر کرده اند که در مشاوره آنها تایید شده است. کاربران دستگاه ها باید از نسخه های زیر پشتیبانی کنند تا از حفاظت های بالقوه محافظت شود.

پچ برای مکانیسم های حفاظت UART ناکافی:

VMB3010 و VMB4000: 1.12.2.3_2772

VMB3500 و VMB4500: 1.12.2.4_2773

VMB5000: 1.12.2.3_59_4a57cce

پچ برای تنظیم خطای شبکه:

VMB3010 و VMB4000: 1.12.2.3_2762

VMB3500 و VMB4500: 1.12.2.4_2773

VMB5000: 1.12.2.2_2824

هرآنچه باید در مورد ویروس ها و انواع آن‌ها بدانید!

اگر می دانید چگونه از پردازنده اصلی خود را از کرم تروجانی پشتی محافظت کنید که درایور تروجان ویروس را در سرور راه اندازی مجدد کپی کرده اید، کد، پس این مقاله برای شما نیست. اگر به نظر می رسد ساخته شده است و مانند یک اسکریپت فیلم از دهه 90، و سپس خواندن را ادامه دهید، مگر اینکه شما هویت خود را به سرقت رفته و در وب تاریک مورد استفاده قرار دهید تا خرید خاویار و شاخ رینگ را بخرید.

به استثنای اینکه شما می توانید تایپ کنید و همچنین مرد زیر (یک مقام دولتی در اصل 1995 فیلم Ghost در Shell)، یا شما قبلا راه حل سایبری مانند Bitdefender را راه اندازی کرده اید، سپس جهان ویروس های کامپیوتری و آموزش هک کردن می تواند واقعی باشد گیج کننده است اما مهم است بدانیم.

بنابراین، بر روی بعضی از عینک های ضخیم قاب قرار دهید یا یک پایه IBM PC خاکستری را در زیرزمین خود نصب کنید و همه چیز را از طریق لنز کلاس های سینمایی 90s مانند روز استقلال، هکرها و پارک ژوراسیک از همه چیز محافظت کنید.

کرم

بگذارید در ابتدا شروع کنیم، آیا ما باید؟ اولین ویروس کامپیوتری یک کرم بود که کرم موریس را نام برد، که در سال 1988 به علت آلودگی به 6000 کامپیوتر، چندین سال قبل از دهه 90 میلادی شروع به وسواس بیش از ویروس ها و هک شدن کرد.

مادر این همه فیلم ها هکرها (1995) است که هک کردن را قبل از خنک شدن و قبل از اینکه خنک شود خنک می کرد، در واقع شخص اصلی به نام Zero Cool شناخته می شود.

هکرها داستان هکری کودک را که از هک ترین هک تمام دوران محکوم شده و از استفاده از رایانه یا «گوشی لمسی» ممنوع شده تا زمانی که 18 ساله محروم شده است، بگوید. او در آن لحظه با آنجلینا جولی و یک تیم از هکرها که نشان می دهند جاسوسی سایبری یک جنایتکار درون دولت که از یک کرم برای سرقت پول استفاده می کند.

یک کرم یک برنامه مخرب است که خود را در بسیاری از رایانه ها تکرار می کند، که می تواند باعث کاهش سرعت شبکه شود. هنگامی که کرم وارد می شود، آن را ترک می کند و حرکت می کند.

این تبه کار با استفاده از یک کرم برای سرقت پول به صورت مخفیانه با استفاده از برش سالامی انجام می شود که یک شیوه ای است که در آن اقدامات افزایشی کوچک باعث پایان یافتن عمل بزرگتر و غیرقابل مشاهده می شود. کرم خودش را تکمیل کرد تا به نظر برسد که هیچ پولی از بین رفته است و پس از آن به حرکت درآمده است، تنها در نهایت نشان می دهد که پس از گذشت چه کاری انجام داده است.

اما در واقع، این چیزی نیست که یک کرم انجام دهد، بلکه یک ویروس است. اگر چه به عنوان شخصیت اصلی، "این یک ویروس نیست، بلکه یک کرم است"، خوب، این در واقع یک ویروس با ویژگی های کرم مانند است. و اگر چه این چیزی است که شخصیت فیلم میگوید، به یاد داشته باشید که این نیز یک فیلم است که در آن افراد غول پیکر کلاسیک به ایستگاههای تلویزیونی هک میکنند، هکرهای آبپاش مدرسه را هک میکنند و روز را با حدس زدن رمز عبور تبهکار نجات میدهند. خدا.

ویروس

بنابراین اگر این یک کرم نبود - اما دارای ویژگی های کرم مانند بود - چرا ویروس پس از آن بود؟ برخلاف یک کرم که می تواند یک مهمان ناخواسته باشد که خود را تکرار می کند، یک ویروس یک برنامه است که برای خرابکاری یا تغییر سیستم طراحی شده است. این کار با قرار دادن کد خاص خود در یک برنامه انجام می شود.

شما یک برنامه ویروس مشابه را در کار در پارک ژوراسیک کلاسیک دایناسور 1993 با استیون اسپیلبرگ دیده اید، جایی که برنامه نویس کامپیوتری دنیس ندری یک کد را وارد می کند (یک ویروس که Nedry به نام "خرگوش سفید" یا Whit rbt.obj) به سیستم پارک برای غیر فعال کردن امنیت - نه قلم Raptor هر چند.

برای اضافه کردن توهین به آسیب، این ویروس باعث بدخلقی "شما، کلمه کلمه جادویی را نمی گوید"، صفحه نمایش، عذاب هر کسی که سعی در غیر فعال کردن آن. با این حال، همه این شرایط واقعا بخشی از رده گسترده تروجان هستند.

بد افزار

بهترین راه برای درک نرم افزارهای مخرب این است که آن را به عنوان اصطلاح چتر برای تمام کلمات دیگر که شما می شنوید. این اصطلاح برای هر "نرم افزار مخرب" است که می تواند به کامپیوتر، شبکه، مشتری یا سرور آسیب برساند. مهمتر از همه، نرم افزارهای مخرب معمولا توسط نحوه گسترش و جاسازی آنها توصیف می شوند.

این بهترین توصیف است با استفاده از روز استقلال (1996). همانطور که جف Goldblum می گوید، "من آن را سرد ... من آن را به یک ویروس ... یک ویروس کامپیوتری." او به معنای آن بود که او ایجاد یک برنامه است، که در هنگام آپلود، یک سیگنال برای غیر فعال کردن زمینه نیروی کشتی های بیگانه ارسال می کند.

سیگنال از کشتی مادری می رود، جایی که پس از آن خود را در کشتی های کوچک تر تعبیه می کند. زمینه های نیروی تمام صنایع بیگانه وقتی سیگنال از کشتی مادری ارسال می شود غیرفعال می شود و آنها را بی فایده می گذارد.

عمل نکنید مثل این که صحنه زیر را تماشا نکنید و 100 درصد آن را خریداری کنید، زیرا جف Goldblum می تواند هر چیزی را بگوید و ما آن را می گیریم.

نرم افزار جاسوسی

نرم افزار جاسوسی مانند یک ویروس گسترش نمی یابد. نصب شده است و در پشت صحنه نشسته است تمام اطلاعات شما را جمع آوری می کند. نرم افزارهای جاسوسی همچنین می توانند ابزارهای تبلیغاتی و برنامه های خود را وارد کنند تا بتوانند کلید های موردنظر خود را وارد کنند تا چیزهایی مانند رمز عبور شما را بیابند (شما می دانید، به طور جدی، اگر رمز عبورتان خدا بود).

در شبکه (1995)، تحلیلگر سیستم Sandra Bullock یک برنامه را کشف می کند که می تواند به عنوان نرم افزار جاسوسی شناخته شود. این برنامه (یک سیستم امنیتی سایبری که توسط یک شرکت شوم به دولت به فروش میرسد) به سیستم دولتی که برنامه نصب شده است، در پشت صحنه قرار میگیرد، اطلاعات جمعآوری شده را از طریق برنامه اجرا میکند.

شبکه خبری نسخه سکسی هکرها با داستان، شخصیت ها و آنچه که می تواند به راحتی به عنوان واقع گرایی توصیف شود، است. بولاک در یک لحظه یک پیتزا را به صورت آنلاین سفارش می دهد، که در آن زمان مضحک بود، اما اکنون اتر اتی را می خوریم.

Ransomware

Ransomware قفل کردن داده های خود را با قفل کردن صفحه نمایش خود و یا رمزگذاری فایل های خود را. پس از آن این امر برای به دست آوردن اطلاعاتی از اطلاعات شما، معمولا پول، از شما استفاده می شود.

به اندازه کافی خوب، شبکه کاملا در مورد این موضوع است که کل زندگی ساندرا بولاک به سرقت رفته است و هویت جدیدی روی او گذاشته شده و تقاضا می کند تا برنامه ارزشمندش را از دست بدهد تا زندگی قدیمی او را پشت سر بگذارد.

به طرق مختلف، این است که چگونه ransomware کار خواهد کرد. هکرها اطلاعات شما را می گیرند، که در مورد بولاک هویت او بود، و برای دریافت آن، شما مجبور به پرداخت جبران خسارت هستید. برای بولاک، این برنامه مخفی بود که او به آن برخورد کرد، اما برای شما، احتمالا پول است - به شکل رمزنگاری ارزهایی مانند بیت کوین.

این فرم وحشتناک از نرم افزارهای مخرب در حال تبدیل شدن به رایج تر است، اما ویژگی هایی مانند Randomware Remediation Bitdefender ایجاد یک نسخه پشتیبان از فایل های خود را، اگر آن را تشخیص ransomware در حال تلاش برای حمله به کامپیوتر شما.

تروجان

 یک تروجان که به دنبال اسب چوبی غول پیکر است که توسط یونانیها برای ورود به شهر تروی مورد استفاده قرار گرفته است، بیشتر روشی است که هکر میتواند با استفاده از مهندسی اجتماعی برای دسترسی به رایانه و یا جزئیات حساب شما دسترسی پیدا کند. این یک درپشتی برای نفوذ به سیستم هدف ایجاد می کند.

روز استقلال این کار را به معنای واقعی کلمه انجام می دهد؛ در واقع تقریبا تمام این فیلم ها هیچ راهی برای نشان دادن آنچه که اساسا جریان کد است، به طوری که آنها برای بهترین چیز بعدی: ویل اسمیت و جف Goldblum در یک کشتی بیگانه به سرقت رفته رفت.

فکر می کنم کشتی فضایی بیگانه (با جف و ویل، هر دو دوست من، در داخل نشسته) به عنوان اسب چوبی، وارد کشتی مادر (تروی) در حالی که تظاهر به بیگانگان (نگاه کنید به: مهندسی اجتماعی) برای آپلود ویروس.

پس چگونه می توانید از این همه اجتناب کنید؟

نگران نباشید، ما دیگر در دهه 90 نیستیم و نه آنجلینا جولی یا نیومن از Seinfeld هک کردن سیستم عامل اصلی است، اما امنیت سایبر یک مسئله واقعی است که می تواند دستگاه های شما را بدون هشدار از بین ببرد - ما در مورد آن روزانه در Mashable بنویسیم. اگر می خواهید شب را به راحتی بخوابید (یا نه، زیرا شما از زمان نمایش صفحه نمایش سیمی شده اید)، می توانید در یک راه حل سایبری مانند Bitdefender سرمایه گذاری کنید.

به علاوه، همانطور که همه ما فیلم های 90s و نمایش های دراماتیک ویروس های کامپیوتری را دوست داریم، شما نمی توانید یک طراح تولید و انیماتور برای محافظت از اطلاعات ارزشمند خود را استخدام کنید.

Ransomwareها قربانی بعدی را از MSP گرفتند. اطلاعات مشتریان فاش شد!

هکرها MSPs را خراب می کنند و از کنسول Webroot SecureAnywhere برای آلوده کردن رایانه های شخصی با Ransomware Sodinokibi استفاده می کنند.

بنیاد ransomware زیرساخت حداقل سه ارائهدهنده سرویسدهنده مدیریت (MSP) را نقض کرده است و از ابزارهای کنترل از راه دور در اختیار آنها، یعنی کنسول Webroot SecureAnywhere، برای استفاده از سیستمهای رانوموئر در سیستم مشتریان MSPs استفاده کرده است.

عفونت های ransomware برای اولین بار در بخش Reddit اختصاص یافته به MSPs - شرکت هایی که خدمات از راه دور IT و پشتیبانی از شرکت ها در سراسر جهان را ارائه می دهند، امروزه گزارش شده است.

کایل Hanslovan، یکی از بنیانگذاران و مدیر عامل شرکت Huntress Lab، آنلاین بود و به برخی از MSPs تاثیر گذار در مورد حوادث کمک کرد.

هکرها از طریق RDP دریافت کردند

Hanslowan گفت که هکرها از طریق RDP (Remote Pointing Point Remote)، امتیازات بالا در سیستم های به خطر افتاده و دستی حذف محصولات AV مانند ESET و Webroot، MSP ها را از بین برد.

در مرحله بعد از حمله، هکرها حسابهای Webroot SecureAnywhere، نرم افزار مدیریت از راه دور (کنسول) مورد استفاده توسط MSPs را برای مدیریت ایستگاه های کاری مستقر از راه دور (در شبکه مشتریان خود) جستجو کردند.

با توجه به Hanslovan، هکرها از کنسول برای اجرای یک اسکریپت Powershell در ایستگاه های کاری از راه دور استفاده می کردند؛ اسکریپت که دانلود و نصب sansomware Sodinokibi.

مدیر عامل شرکت شکارچی گفت که حداقل سه MSP به این ترتیب آموزش هک شده اند. برخی از کاربران Reddit همچنین گزارش دادند که در بعضی موارد ممکن است هکرها از کنسول مدیریت راه دور Kaseya VSA استفاده کرده باشند، اما این هیچگاه رسما تایید نشده است.

هانسلووان گفت: "دو شرکت ذکر شده تنها میزبانانی بودند که Webroot را آلوده کرده بودند." "با توجه به کنسول مدیریت Webroot، مدیران اجازه می دهند از فایل های نقطه به نقطه از راه دور فایل ها را دانلود و اجرا کنند، این به نظر می رسد یک بردار حمله قابل قبول است."

WEBROOT DEFLOWERS 2FA برای حساب های امن

براساس یک ایمیل Hanslovan دریافت کرد، Webroot بعدا در روز شروع به اعمال قدرت مجاز به تأیید احراز هویت دو عامل (2FA) برای حسابهای SecureAnywhere کرد، امیدوار بود که هکرها از هر گونه حساب دیگر که به طور بالقوه ربوده شده است، برای استفاده از رنج نرم افزار جدید در طول روز استفاده کنند.

SecureAnywhere از 2FA پشتیبانی می کند که به طور پیش فرض برای همه کاربران فعال است، اما برخی از کاربران ظاهرا آن را خاموش کرده اند. در این ایمیل، این شرکت اعلام کرد که 2FA مجددا فعال خواهد شد، بدون این که کاربران بتوانند آن را غیر فعال کنند.

"اخیرا تیم تروجان پیشرفته Webroot کشف کرد که تعداد کمی از مشتریان تحت تاثیر یک بازیگر تهدید قرار گرفته است که با استفاده از ترکیبی از شیوه های بهداشت روانی سنتی مشتری در حوزه تأیید هویت و RDP،" چاد باخر، SVP محصولات، WEBROOT، شرکت کربنیت، به ZDNet از طریق ایمیل به ZDNet گفت.

وی افزود: "برای اطمینان از بهترین حفاظت برای کل جامعه مشتری وبروت، ما تصمیم گرفتیم زمان لازم برای احراز هویت دو عامل را اجباری کنیم. ما این کار را با انجام خروج کنسول و به روز رسانی نرم افزار صبح روز 20 ژوئن انجام دادیم."

"ما همه می دانیم که احراز هویت دو عامل (2FA) یک روش بهتر برای بهداشت سایبر است و ما مشتریان را برای استفاده از کنسول داخلی 2ROAS کنسول Webroot تشویق کردیم. ما همیشه از محیط تهدید نظارت می کنیم و همچنان اقدامات پیشگیرانه مانند این را ادامه دهید تا بهترین محافظت را برای مشتریان فراهم کنید. "

نرم افزار Sodinokibi rensomware نسبتا جدید است که در اواخر آوریل کشف شد. در آن زمان یک بازیگر تهدید با استفاده از اوراکل WebLogic صفر روز برای هک کردن شبکه های شرکت و نصب ransomware بود.

حادثه امروز موج دوم حملات عمده است که طی آن هکرها MSP ها و ابزارهای کنترل از راه دور خود را برای استفاده از ransomware در شبکه های مشتریان خود سوء استفاده کردند.

اولین حادثه در اواسط ماه فوریه اتفاق افتاد زمانی که یک گروه هکر استفاده از آسیب پذیری ها در ابزارهای معمول MSP برای استفاده از Ransomware GandCrab در ایستگاه های کاری مشتریان.

به طور تصادفی، در زمان وقوع این حادثه در Reddit، رسانه های محلی در رومانی گزارش دادند که پنج بیمارستان به وسیله ی ransomware در بوخارست، پایتخت کشور آلوده شده اند. با این حال، شواهدی وجود ندارد که دو رویداد در خارج از دوران عفونت ارتباط داشته باشند.

malware که موجب ایجاد بک دور در اندروید است شناسایی شد! گوگل مشکل را حل می‌کند

گوگل تایید کرد که Cyberthieves توانست قبل از نصب نرم افزارهای مخرب به Backdoor چارچوب Android را مدیریت کند. به طور خلاصه، بدافزار به نظر می رسد که توسط گوگل در عمیق ترین نقطه در آندروید خوش شانس.

یکی از بزرگترین ترسهای امنیت تلفن همراه به تصویب رسیده است. گوگل هفته گذشته (6 ژوئن) تایید کرد که Cyberthieves توانست قبل از نصب نرم افزارهای مخرب به Backdoor چارچوب Android را مدیریت کند. به طور خلاصه، بدافزار به نظر می رسد که توسط گوگل در عمیق ترین نقطه در آندروید خوش شانس.

"در بستر برنامه Google Play، نصب به این معنی بود که [نرم افزارهای مخرب] نباید نصب را از منابع ناشناخته غیر فعال کنند و تمام نصب برنامه به نظر می رسید مانند آنها از Google Play بود"، لوکاس Siewierski از تیم امنیتی و حفظ حریم خصوصی اندروید نوشت ، در یک پست وبلاگ "برنامه ها از سرور C & C دانلود شد و ارتباط با C & C با استفاده از یک روال معمول رمزگذاری با استفاده از XOR و ZIP دوبار رمزگذاری شد. برنامه های دانلود شده و نصب شده از نام های بسته های برنامه های غیرمعمول موجود در Google Play استفاده کردند. هر گونه ارتباط با برنامه های موجود در Google Play از جمله همان نام بسته. "

سازمانی CISOs و سازمان های جامعه مدنی، همراه با CIO ها، کشف می کنند که اعتماد به شرکت های بزرگ سیستم عامل های تلفن همراه امروز - اپل و گوگل - برای رسیدگی به امنیت خود را از دست رفته بی احترامی است. با توجه به ماهیت اکوسیستم اپل (مجموع یک سازنده گوشی، که اجازه می دهد تا سیستم بسیار بیشتر بسته)، در iOS کمی امن تر است، اما فقط کمی.

با این حال، پذیرش جدید گوگل قطعا باعث می شود که اپل کمی در زمینه امنیت بهتر شود. این مسئله نه تنها با سیستم عامل نیست، هر دو سیستم عامل iOS و Android دارای کد منطقی امنیت سایبری هستند. این برنامه ها با برنامه های ارائه شده به شرکت ها و مصرف کنندگان از طریق تأسیسات برنامه رسمی تأیید شده است. جوانب مثبت شرکت در حال حاضر می دانند که نه اپل و نه گوگل به اندازه کافی برای تأیید امنیت برنامه ها تلاش می کنند. در بهترین حالت، هر دو برای مسائل مربوط به سیاست و کپی رایت به مراتب بیشتر از حضور نرم افزارهای مخرب هستند.

اما با برنامه های شخص ثالث درست برخورد می شود. برنامه هایی که به طور مستقیم از اپل و گوگل به فروش می رسند می توانند اعتماد کنند - یا تا زمانی که افشای Google انجام شود، تصور می شد.

حادثه ای که گوگل پذیرفته شد، دو سال پیش اتفاق افتاد، و در پست وبلاگ نمی توان گفت که چرا گوگل در آن زمان آن را اعلام نکرده بود یا اینکه چرا آن را در حال حاضر انتخاب کرده است. ممکن است گوگل قصد داشته باشد تا قبل از اعلام آن، این سوراخ را به اندازه کافی بسته باشد، اما دو سال زمان بسیار بدی برای شناختن این سوراخ جدی است و در مورد آن سکوت می کند.

پس چه اتفاقی افتاد؟ گوگل امتیازات زیادی برای انتشار جزئیات زیادی به دست می آورد. پیشینه داستان گوگل یک سال پیش از آن آغاز می شود - به طوری که، سه سال پیش - با مجموعه ای از برنامه های تبلیغاتی اسپم تبلیغاتی به نام Triada.

Siewierski نوشت: "هدف اصلی برنامه های Triada این بود که برنامه های اسپم بر روی یک دستگاه که تبلیغات را نمایش می داد نصب شود. "سازندگان Triada درآمد حاصل از تبلیغات نمایش داده شده توسط برنامه های اسپم جمع آوری شده است. روش Triada استفاده شد برای این نوع برنامه ها پیچیده و غیر معمول است. برنامه های Triada به عنوان ریشه کنی تروجان ها آغاز شده، اما به عنوان محافظت از Google Play محافظت در برابر سوء استفاده ریشه، برنامه های Triada مجبور به انطباق، پیشرفت به سیستم backdoor تصویر سیستم. "

سپس Siewierski روش متداول را توضیح می دهد: "اولین اقدام Triada برای نصب یک نوع پرونده باینری سوپرکاربر (su) بود. این باینری مجاز به برنامه های دیگر موجود در دستگاه اجازه استفاده از مجوزهای ریشه را داد. باینری سو استفاده شده توسط Triada نیاز به رمز عبور داشت منحصر به فرد در مقایسه با فایل های باینری منظم معمول با سایر سیستم های لینوکس منحصر به فرد است و باینری دو کلمه عبور را پذیرفته است: od2gf04pd9 و ac32dorbdq. بسته به اینکه کدام یک ارائه شده باشد، دستور باینری به عنوان یک argument به عنوان ریشه داده می شود یا تمام استدلال ها را به هم متصل می کند این concatenation قبل از SH، سپس آنها را به عنوان ریشه اجرا کرد. در هر صورت، برنامه باید بداند رمز عبور صحیح برای اجرای فرمان به عنوان ریشه. "

این برنامه با استفاده از یک سیستم پیشرفته پیچیده برای آزاد سازی فضای مورد نیاز، اما اجتناب از آن - تا آنجا که ممکن است - حذف هر چیزی که هشدار IT یا مصرف کننده را به یک مشکل. "تماشای وزن شامل چند مرحله و تلاش برای آزاد سازی فضای بر روی پارتیشن کاربر و پارتیشن سیستم کاربر است. با استفاده از لیست سیاه و سفید لیست برنامه ها، ابتدا همه برنامه ها را در لیست سیاه خود حذف کرد. اگر فضای بیشتری نیاز بود، همه را حذف می کرد برنامه های دیگر تنها برنامه های موجود در لیست سفید را ترک می کنند. این روند فضای آزاد را آزاد کرد و اطمینان حاصل کرد که برنامه های مورد نیاز برای عملکرد تلفن به درستی حذف نشده اند. " او همچنین اشاره کرد که "علاوه بر نصب برنامه هایی که تبلیغات را نمایش می دهند، Triada کد را به چهار مرورگر وب تزریق کرد: AOSP (com.android.browser)، 360 Secure (com.qihoo.browser)، Cheetah (com.ijinshan.browser_fast) و Oupeng (com.oupeng.browser). "

هشدار مایکروسافت در خصوص آسیب پذیری آفیس برای ایمیل های اسپم

محققان امنیتی مایکروسافت در روز جمعه بعد از ظهر در مورد یک موج اسپم در حال انجام است که ایمیل هایی را که حاوی اسناد خرابکارانه RTF هستند و کاربران را با نرم افزارهای مخرب بدون تعامل کاربر آلوده می کنند، زمانی که کاربران اسناد RTF را باز می کنند، منتشر می کنند.

مایکروسافت اعلام کرد که به نظر می رسد موج اسپم برای کاربران اروپایی هدف قرار گرفته است، زیرا ایمیل ها در زبان های مختلف اروپایی ارسال می شوند.

تیم مایکروسافت امنیت اطلاعات گفت: در کمپین جدید، فایل RTF بارگیری و اجرای چندین اسکریپت از انواع مختلف (VBScript، PowerShell، PHP، دیگران) برای بارگیری بارگیری است.

مایکروسافت گفت که نسخه نهایی یک تروجان پشتی است. خوشبختانه، سرور فرمان و کنترل تروجان به نظر می رسد تا جمعه، زمانی که مایکروسافت هشدار امنیتی خود را صادر کرد، کاهش یافته است.

با این حال، همیشه خطر کمپین های آتی وجود دارد که ممکن است یک تاکتیک مشابه را برای انتشار یک نسخه جدید از تروجان backdoor که به یک سرور کار متصل است، بسوزاند و اجازه می دهد که کلاهبرداران دسترسی مستقیم به رایانه های آلوده داشته باشند.

خبر خوب این است که کاربران می توانند از این مبارزات اسپم کاملا ایمن باشند. ابتدا ویروس آلودگی به یک آسیب پذیری Office قدیمی متکی است که مایکروسافت در ماه نوامبر سال 2017 از آن رد شد.

کاربرانی که به روز رسانی امنیتی سه ماه ماه نوامبر 2017 را اعمال کردند، باید ایمن باشند.

آسیب پذیری به عنوان CVE-2017-11882 ردیابی می شود. این یک نام کد برای یک آسیب پذیری در یک نسخه قدیمی تر از بخش ویرایشگر معادله است که با نصب Office عرضه می شود و برای اهداف سازگاری علاوه بر مؤلفه ویرایشگر معادله جدید مایکروسافت نیز استفاده می شود.

در سال 2017، محققان امنیتی از Embedi یک اشکال را در این اجزای قدیمی کشف کردند که باعث شد بازیگران تهدید برای اجرای کد در دستگاه های کاربران بدون هیچ گونه تعامل با کاربر هر بار که یک فایل آفیس سلاح دار که شامل یک سوءاستفاده خاص بود را باز کند.

از آنجا که مایکروسافت ظاهرا کد منبع این مولفه قدیمی را از دست داده و بعد از کشف یک اشکال دوم معادله ویرایشگر در سال 2018، مایکروسافت تصمیم گرفت که بخش مولتی مدیا Equation را در ژانویه 2018 به طور کامل حذف کند.

با این حال، شناخته شده است که بسیاری از کاربران و شرکت ها اغلب شکست خورده یا فراموش کرده اند به روز رسانی امنیتی به موقع نصب کنید.

اپراتورهای مخرب بر این سوء استفاده قرار گرفته اند و از زمان پایان سال 2017 آن را تسلیم کرده اند و می دانند که زمان زیادی را برای استفاده از کاربران فراموش شده که با به روز رسانی های امنیتی مزاحم می شوند، به سر می برد.

و آنها انجام دادند آنها بارها و بارها بارها و بارها از بهره برداری استفاده می کردند. گزارش آیندهی ضبط شده CVE-2017-11882 را بعنوان آسیب پذیرترین سومین مورد از سال 2018 رتبه بندی کرد و گزارش مشابه کسپرسکی نیز در بالای لیست قرار داشت.

خود سوءاستفاده به عنوان یک غافلگیر کننده نیست، بلکه بر خلاف بسیاری دیگر از سوء استفاده های آفیس، نیازی به تعامل با کاربر نیست، که این کار نیاز به کاربران را برای فعال کردن ماکرو یا غیرفعال کردن ویژگی های مختلف امنیتی از طریق پنجره ها فراهم می کند.

در حالی که مایکروسافت در این هفته هشدار داده است که CVE-2017-11882 برای مبارزات جاسوسی استفاده می شود، بهره برداری نیز بسیار محبوب است که گروه های آموزش هک هکرها درگیر حملات بسیار هدفمند مانند جاسوسی اقتصادی و جمع آوری اطلاعات هستند.

به عنوان مثال، این هفته، در دو گزارش مختلف [1، 2]، FireEye گفت CVE-2017-11882 در میان گروه های جاسوسی مختلف چینی چینی مشترک بود.

واقعیت این است که چندین گروه هکینگ حمایت مالی از دولت چینی از این بهره برداری استفاده می کنند، نشان دهنده کارآیی آن و دلیل دیگری که کاربران باید از آن آگاه باشند و تکه های لازم را اعمال کنند.

باج خواهی هکرهای شهر بالتیمور از آمریکا!

مردم بالتیمور هفته پنجم خود را تحت محاصره الکترونیکی آغاز می کنند که مانع از دریافت مجوز های ساختمانی و مجوز کسب و کار شده و حتی خرید و فروش خانه ها شده است. یک سال پس از اینکه هکرها سیستم ارسال سیستم اضطراری شهر را مختل کردند، کارکنان شهر در سراسر شهر نمیتوانند، از جمله موارد دیگر، از حسابهای ایمیل دولتی خود استفاده کنند یا تجارت منظم شهر را انجام دهند.

در این حمله، یک نوع نرم افزار مخرب به نام ransomware فایل های کلیدی را رمزگذاری کرده و آنها را غیر قابل استفاده می کند تا زمانی که شهر مهاجمان ناشناس 13 bitcoin را پرداخت کند یا حدود 76،280 دلار آمریکا را پرداخت کند. اما حتی اگر شهر پرداخت شود، هیچ تضمینی وجود ندارد که پرونده های آن تمام شود؛ بسیاری از حملات ransomware با اطلاعاتی که از دست داده اند، پایان می یابند.

حملات مشابه در سال های اخیر، خدمات ملی بهداشتی انگلیس را تحویل داده است، حمل و نقل غول پیکر Maersk و دولت های محلی، ایالتی و ایالت ایالت متحده در سراسر ایالات متحده و کانادا.

این نوع حملات بیشتر در حال تبدیل شدن و توجه بیشتر به رسانه ها است. صحبت کردن به عنوان یک حرفه حرفه ای در زمینه امنیت سایبری، جنبه های فنی حوادث مانند این، تنها بخشی از یک تصویر بسیار بزرگتر است. هر کاربر تکنولوژی باید نه تنها تهدیدات و آسیب پذیری ها را در نظر بگیرد، بلکه باید فرآیندهای عملیاتی، نقاط نقص احتمالی و نحوه استفاده از تکنولوژی را هر روزه در نظر بگیرند. فکر کردن به جلو و اقدامات محافظتی می تواند به کاهش اثرات حوادث سایبری در افراد و سازمان ها کمک کند.

نرم افزار طراحی شده برای حمله به رایانه های دیگر چیزی جدیدی نیست. ملل، شرکت های خصوصی، محققان و مجرمان فردی همچنان در حال توسعه این نوع برنامه ها برای طیف وسیعی از اهداف، از جمله جنگ های دیجیتال و جمع آوری اطلاعات و همچنین اخاذی توسط ransomware هستند.

بسیاری از تلاش های مخرب به عنوان یک عملکرد عادی و حیاتی از امنیت سایتی آغاز می شود: شناسایی آسیب پذیری های نرم افزاری و سخت افزاری که می تواند توسط مهاجم مورد سوء استفاده قرار گیرد. سپس محققان امنیتی به آسیب پذیری نزدیک می شوند. در مقابل، توسعه دهندگان نرم افزارهای مخرب، جنایی و غیره، متوجه خواهند شد که چگونه از طریق باز کردن آن کشف شده، کشف شده و به طور بالقوه ویرانی در سیستم های هدف قرار بگیرند.

گاهی اوقات یک ضعف واحد به اندازه کافی برای دسترسی به آنها که می خواهند مزاحم است. اما زمانیکه دیگر مهاجمان از تلفیق چندین آسیب پذیری برای نفوذ به یک سیستم استفاده می کنند، کنترل، سرقت اطلاعات و تغییر یا حذف اطلاعات را در هنگام تلاش برای مخفی کردن هر گونه شواهدی از فعالیت خود را از برنامه های امنیتی و پرسنل استفاده می کنند. چالش اینقدر بزرگ است که هوش مصنوعی و سیستم های یادگیری ماشین در حال حاضر نیز برای کمک به فعالیت های امنیتی سایبری کمک می کنند.

بعضی از سوالاتی در مورد نقش دولت فدرال در این وضعیت وجود دارد، زیرا یکی از ابزارهای هکری که ماموران گزارش کرده اند در بالتیمور استفاده می شود توسط آژانس امنیت ملی ایالات متحده تهیه شده است که سازمان امنیت ملی آمریکا آن را انکار کرده است. با این حال، ابزار هک از NSA در سال 2017 توسط گروه هکرها به سرقت رفته است. شرکت Shadow Brokers برای راه اندازی حملات مشابه طی چند ماه از ابزارهایی که در اینترنت منتشر شد استفاده شد. مطمئنا، این ابزار نباید هرگز از NSA ربوده شود - و باید بهتر از آن محافظت شود.

اما دیدگاه های من پیچیده تر از این است: به عنوان یک شهروند، من مسئولیت NSA را برای تحقیق و توسعه ابزار پیشرفته برای محافظت از کشور و اجرای مأموریت امنیتی ملی خود، به رسمیت می شناسم. با این حال، مانند بسیاری از متخصصان امنیت سایبری، من با این موضوع مخالفت می کنم: هنگامی که دولت یک آسیب پذیری جدید را شناسایی می کند، اما سازنده سخت افزار یا نرم افزار آسیب دیده را تا زمانی که از آن استفاده نمی شود به علت تخریب یا افشای ناگهانی نرسد، در معرض خطر است.

واکنش واضحی به ransomware وجود ندارد

برخی از قربانیان پرداخت می کنند، اما اطلاعات خود را دریافت نمی کنند؛ دیگران پرداخت نمی کنند و آنچه را که از دست داده اند را بهبود می یابند.

وضعیت شهر بالتیمور

تخمین زده شده است که 18 میلیون دلار هزینه بازیابی در بالتیمور پولی است که شهر احتمالا به آسانی در دسترس نیست. تحقیقات اخیر توسط برخی از همکاران من در دانشگاه مریلند، کالج بالتیمور، نشان می دهد که بسیاری از دولت های ایالتی و محلی، به طرز شگفت آوری کم پیش بینی شده اند و به اندازه کافی، صرفا به طور فعالانه، با چالش های بسیاری در زمینه امنیت سایبری مواجه هستند.

در مورد این است که حمله ransomware در بالتیمور یک آسیب پذیری را که بیش از دو سال از آن به طور عمومی شناخته شده است - با یک رفع در دسترس برخوردار است. NSA یک اکتیویته (کد EternalBlue) را برای این ضعف امنیتی کشف کرده است اما مایکروسافت در مورد این آسیب پذیری امنیتی بحرانی تا اوایل سال 2017 هشدار داده و تنها پس از اینکه کارکنان سایه ابزار NSA را برای حمله به آن دزدیده اند، اخطار دادند. به زودی مایکروسافت یک به روز رسانی امنیتی نرم افزاری را برای رفع این نقص کلیدی در سیستم عامل ویندوز خود منتشر کرد.

تلاش برای هک کردن 1.5 میلیون سرور RDP

در حال حاضر یک بوت نت اینترنت را در جستجوی ماشین های ویندوز ضعیف محافظت می کند با اتصال پروتکل دسکتاپ Remote (RDP) فعال شده است.

GoldBrute نامی از نرم افزارهای مخرب لیستی از بیش از 1.5 میلیون سیستم منحصر به فرد را گردآوری کرده است و به طور سیستماتیک دسترسی به آنها را با حمله سایبری بیرحمانه یا اعتبار سنجی انجام می دهد.

جستجو در موتور جستجو Shodan نشان می دهد که حدود 2.4 میلیون دستگاه وجود دارد که قابل دسترسی در اینترنت هستند و پروتکل دسک تاپ از راه دور فعال شده است.

نیروی بیرحمانه به عنوان یک حمله واحد مخفی شده است

رناتو ماریینو از آزمایشگاههای مورفوس، جزء نیروی خشن در GoldBrute را تجزیه و تحلیل کرده است، که اسکن وب را حفظ می کند و لیستی از اهداف بالقوه را افزایش می دهد.

 

ماریینو به گفتگو با BleepingComputer گفت که آثار منقضی شده، هدف نهایی برای سرورهای دسک تاپ هک شده را نشان نمی دهد.

همانطور که مکانیزم پایداری وجود ندارد، یکی از نظریه ها این است که آنها آنها را جمع آوری می کنند به عنوان یک سرویس دسترسی به عنوان یک سرویس و یا در انجمن ها و بازار های هکر

محقق می گوید که تنها یک سرور فرمان و کنترل (C2) با استفاده از آدرس IP 104.156 وجود دارد.] 249.231، که نشان دهنده موقعیت مکانی در نیوجرسی، ایالات متحده است.

کد بوت دانلود سنگین 80 مگابایت است زیرا شامل جاوا Runtime کامل است. یک کلاس جاوا "GoldBrute" شامل کد های ربات می شود.

 

یک سیستم آلوده GoldBrute شروع به اسکن کردن وب برای میزبان ها با سرورهای RDP در معرض نمایش می دهد و آدرس های IP خود را به C2 از طریق یک اتصال WebSocket رمزگذاری شده به پورت 8333، که معمولا برای اتصال Bitcoin استفاده می شود، گزارش می دهد.

پس از ارسال آدرس برای 80 قربانی، C2 تعدادی از اهداف را رد می کند که ربات باید نیروی بی رحم باشد. جالب توجه است که یک ربات فقط یک نام کاربری و رمز عبور را برای هر هدف هدف قرار می دهد.

به احتمال زیاد، این تاکتیک به معنای مخفی کردن یک حمله خشونت آمیز هماهنگ شده به هدف است زیرا قربانی تلاش ورود به سایت را از چندین آدرس نشان می دهد.

احراز هویت موفق، دانلود را برای کد GodlBrute و Java Runtime، هر دو در بایگانی ZIP ذخیره می کند.

پس از غیر فشرده سازی، پس از آن یک فایل جارو با نام bitcoin.dll اجرا می شود. پسوند DLL ممکن است برای مخفی کردن کاربران غیر قابل ستایش باشد، اما من معتقد هستم که بخش bitcoin توجه بیشتری را نسبت به یک extension جیار نشان می دهد. مارینو امروز در پست وبلاگ می نویسد.

اسکن، نیروی بی رحم، آلوده، تکرار کنید

ربات شروع به کار بلافاصله و جستجو برای سرور های RDP در معرض. هنگام خشونت زدن، ربات می تواند ترکیب های مختلفی از آدرس آی پی میزبان، نام کاربری و رمز عبور را برای آزمایش انجام دهد.

هنگام تجزیه و تحلیل GoldBrute، محقق توانست کد خود را اصلاح کند تا بتواند لیست را با تمام "host + username + password" ذخیره کند.

"پس از 6 ساعت، 2.1 میلیون آدرس آی پی از سرور C2 دریافت کردیم که 1،596،571 آنها منحصر به فرد هستند. البته ما فاز نیروی فشاری را اجرا نکردیم."

این سیستم ها در سراسر جهان به عنوان قابل مشاهده در نقشه زیر منتشر شده است.

به تازگی، علاقه وب سایبری به سرورهای RDP افزایش یافته است. این بررسی ناخواسته پس از انتشار اخبار BlueKeep، آسیب پذیری اکتیویتی از راه دور در سرویس های Remote Desktop Services (RDS) ظاهر می شود.

هیچ روش ابتکاری در روش حمله وجود ندارد، اما GoldBrute به نحوی است که نیروی خشن را اجرا می کند؛ این روش به آن کمک می کند که مشخصات کم را حفظ کند و همچنین عدم استقامت آن.

کامپیوترهای Baltimore به مدت دو هفته توسط هکرها هک شد

حملات ransomware به این معنی است که شهروندان بالتیمور نمیتوانند صورتحساب آب خود یا بلیط پارکینگ را پرداخت کنند.

سیزده بیک کوین بین شهر بالتیمور ایستاده و بسیاری از خدمات و پردازش شهروندان خود را به تکیه بر پس از هکرها هزاران کامپیوتر دولتی را در آغاز ماه گرفتار شده است. اعتراض به مدت دو هفته ادامه دارد و هیچ دلیلی در ظاهر وجود ندارد.

در اینجا چیزی است که اتفاق می افتد: در روز 7 ماه مه، هکرها به صورت دیجیتالی حدود 10،000 رایانه دولتی بالتیمور را دستگیر کردند و تقاضای تقریبا 100000 دلار در بیت کوین ها برای آزاد کردن آنها را ایجاد کردند. این حمله به اصطلاح "ransomware" است، در حالی که هکرها برنامه های مخرب را به منظور جلوگیری از دسترسی به سیستم کامپیوتری و یا دریافت آن تا زمانی که صاحب آن سیستم می پردازد، بازپرداخت می کند.

بالتیمور، مانند چندین شهر دیگر که طی دو سال گذشته با چنین حملاتی برخورد کرده اند، حاضر به پرداخت آن نیست. در نتیجه، به مدت دو هفته کارکنان شهر از حساب های ایمیل خود قفل شده اند و شهروندان قادر به دسترسی به خدمات ضروری، از جمله وب سایت هایی که پرداخت صورت حساب آب، مالیات بر املاک و بلیط های پارکینگ را پرداخت می کنند. این حمله متعارف در بلاروس در حدود 15 ماه است: سال گذشته، یک حمله جداگانه برای حدود یک روز، سیستم 911 شهر را متوقف کرد. بالتیمور برای رسیدگی به هر دو حملات تحت نظارت قرار گرفته است.

حملات ransomware در بالتیمور و سایر دولت های محلی در سراسر ایالات متحده نشان می دهد که به عنوان حملات ransomware گسترش یافته و به عنوان اهداف رایج از قبیل بیمارستان ها و مدارس امنیت سیستم های آنلاین خود را تضمین می کنند، هنوز هم هدف های زیادی برای آسیب پذیری این نوع هک وجود دارد. این همچنین نمونه ای از عجیب و غریب است که قربانیان ransomware با آن روبه رو می شوند: پرداخت و دسترسی شما به عقب، و یا امتناع - به طور بالقوه در طولانی مدت هزینه های بسیار بیشتری.

آنچه در بالتیمور اتفاق می افتد، به طور خلاصه توضیح داده شده است

هکرها در 7 مه از شهر برادران بالتیمور، با استفاده از یک رادیو اینترنتی به نام RobbinHood، که به گفته NPR، امکان دسترسی به یک سرور را بدون کلید دیجیتالی که تنها هکرها دارند، غیرممکن است.

توجه داشته باشید که استفاده از هکرهای بالتیمور، که توسط بالتیمور خورشید به دست آمده، درخواست پرداخت سه بیت کوین در هر سیستم را برای باز شدن قفل کرد، که به 13 بیت کوین برای باز کردن تمام سیستم های دستگیر شده تقسیم می شود. این یادداشت تهدید کرد که اگر آن را در چهار روز پرداخت نمی شد، جبران خسارت را افزایش می دهد و گفت که این اطلاعات برای همیشه از بین خواهد رفت، اگر آن را در 10 روز پرداخت نکنید. هر دو مهلت در حال حاضر گذشت

"ما بیشتر صحبت نمی کنیم، همه ما می دانیم که پول است! عجله کن! تک تاک، تک توک، تک توک! "یادداشت گفت.

دولت شهر از پرداخت پول خودداری می کند، به این معنی است که سیستم های پست الکترونیکی دولت و سیستم عامل های پرداختی این حملات از بین می روند. این حمله همچنین به بازار املاک بالتیمور آسیب رسانده است، زیرا مقامات قادر به دسترسی به سیستم های مورد نیاز برای تکمیل فروش املاک نیستند. (این شهر گفت که معاملات روز دوشنبه ادامه یافت.)

جک یانگ، شهردار بالتیمور، که رسما در کمتر از یک ماه در دفترش بود، در بیانیه ای در روز جمعه گفت که مقامات شهر "به خوبی در روند بازسازی" قرار دارند و "کارشناسان ارشد امنیت سایبری که در محل کار 24-7 کار می کنند مشغول به کار هستند با ما ". FBI نیز در تحقیق شرکت داشته است.

یانگ گفت: "بعضی از تلاش های ترمیم همچنین نیاز به بازسازی سیستم های خاصی دارند تا اطمینان حاصل شود که وقتی ما کارهای تجاری را بازسازی می کنیم، ما این کار را به گونه ای ایمن انجام می دهیم." او زمان زمانی را برای زمانی که تمام سیستم ها دوباره به اینترنت بازگردانده نمی شوند.

رئیس شورای شهر بالتیمور همچنین قصد دارد یک کمیته ویژه برای بررسی این حمله جدید ایجاد کند و سعی کند اطمینان حاصل کند که این اتفاق دوباره رخ نخواهد داد.

حمله مشابه با استفاده از RobbinHood کامپیوترهای دولتی در گرین ویل، کارولینای شمالی در ماه آوریل را تجربه کرد. یک سخنگوی گرین ویل به وال استریت ژورنال گفته است که این شهر هرگز پرداخت نمی شود و در حالی که سیستم هایش به طور کامل بازسازی نشده است، "تمام نیازهای تکنولوژی ما در حال حاضر برآورده شده است."

بیش از 20 شهرداری در ایالات متحده به تنهایی در سال جاری توسط سایبری دستگیر شده اند. و چنین حملاتی می تواند گران باشد، شاید به ویژه اگر اهداف می گویند که آنها پرداخت نمی کنند. در سال 2018، هکرها خواستار آن بودند که آتلانتا به عنوان بخشی از حمله ransomware حدود 50،000 دلار در بیت کوین پرداخت کند. این شهر رد کرد و بر اساس گزارشی که توسط قانوننامه آتلانتا ژورنال و کانال 2 Action News منتشر شد، این حمله به هزینه 17 میلیون دلار برای رفع آن پایان یافت.

حملات Ransomware جدید نیستند - اما ما هنوز درک نحوه برخورد با آنها را داریم

در سال 2017، یک رایانامه به نام WannaCry دهها هزار رایانه را با استفاده از سیستم عامل های Microsoft Windows در بیش از 100 کشور هدف قرار داد. مقامات ایالات متحده و بریتانیا در نهایت سرانجام کره شمالی را برای حمله سایبری مورد انتقاد قرار دادند. همچنین در سال 2017، شرکت های بزرگ در انگلستان، فرانسه، روسیه، اسرائیل و اوکراین با حملات ransomware مواجه شدند. بیمارستان های ایالات متحده نیز هدف قرار گرفتند.

از آن به بعد، تعدادی از بخش ها و سازمان ها اقدامات امنیتی خود را برای محافظت در برابر رنج نرم افزار بهبود داده اند. اما آخرین حمله بالتیمور نمونه ای از یک بازی بی نظیر یک مول است: یک منطقه اقدامات خود را بهبود می بخشد و هکرها فقط به دنبال آن هستند

حملات سایبری پزشکی تا حدود 1400 درصد افزایش پیدا کرده است!

SAN FRANCISCO - یک مرد نابالغ، که به وسیله پزشکان، پرستاران و پزشکان محاصره می شود، مرد متوسط ​​ساله بود که نگران بیمار شدن مراقبت های بهداشتی آمریکا می بود، می تواند خطرناک باشد: "cybergeddon".

"هشدار: تمام مانیتورهای رایانه ای در سیستم بیمارستان پایین آمده است"، صدای زنانه اتوماتیک صدای بلند بر روی یک سیستم آدرس عمومی بیان شده است.

به زودی، وضعیت مرد بدتر شد و یک جفت پزشکان تلاش کردند پاسخ های غیر معمول از دستگاه انسولین بیمار شبیه سازی شده را بیابند - در حالی که بیش از صد نفر هر تصمیم خود را به تماشای آنها می انداختند.

تظاهرات قلب تند و تند و تند و تیز در کنفرانس امنیتی اخیر در مرکز سانفرانسیسکو نشان داد چه اتفاقی می افتد زمانی که یک حمله سایبری فلج می کند یا تجهیزات را در هر بیمارستان در کشور پیدا می کند و دستگاه هایی مانند پمپ انسولین که در بسیاری از خانه ها استفاده می شود.

سوال اساسی: زمانی که هکرها دستگاه های مراقبت های حیاتی را می گیرند، مانند این مثال شدید، پزشکان هنوز می توانند بیمار را نجات دهند؟

دکتر جف توللی، که در کنار دکتر کریستین دانف، همجنسگرای هکر، تبدیل شده است، تظاهرات اینترنتی را توسعه داد، گفت: "این بسیار محرک، متقاعد کننده و تحریک کننده تجربه است."

Dameff در یک مصاحبه مشترک گفت: "ما هشدار را افزایش می دهیم."

دکتر Dameff هنگامی که از او پرسید که آیا بیشتر بیمارستان های ایالات متحده می توانند لحظه ای که حمله سایبری در حال انجام است تشخیص دهد، پاسخ داد: "من بیشتر نمی گویم، نه"، و اذعان کرد که "این یک مشکل برای سیستم مراقبت بهداشتی کشور است.

او توضیح داد: "ما بر این باور هستیم تاکید بیش از حد بر حفاظت از اطلاعات بیمار بجای حفاظت از مراقبت از بیمار قرار داده شده است." "ما به شوخی می گویم که ما حریم خصوصی بیمار را دوست داریم، اما ما می خواهیم آنها زنده بمانند تا از آن استفاده کنند."

دیمف گفت: "ما به شدت نگران زیرساخت هایی هستیم که برای مراقبت های بهداشتی مورد هدف قرار می گیرند. نمونه خوبی از این WannaCry است."

Wannacry شوک سایبری به یک سیستم مراقبت بهداشتی بود که بسیاری پیش بینی کرده بودند.

در سال 2017، بدافزار مخرب 16 بیمارستان در سراسر بریتانیا را تعطیل کرد. ایالات متحده آمریکا کره شمالی را متهم کرد. کارشناسان می گویند، ملت ها، بازیگران غیر دولتی، هکرها و دیگران در هنگام راه اندازی اعتصابات اینترنتی، از جمله به دلایل سیاسی یا مالی یا به سادگی برای کنجکاوی یا سرگرمی، انگیزه های گوناگونی دارند.

دکتر Dameff هشدار داد: "ما درس WannaCry را در ایالات متحده آموختیم."

دکتر توللی اضافه کرد: "چرا ما باید صبر کنیم تا مردم از این موضوع صدمه ببینند؟ چرا ما نمی توانیم مانع از این اتفاق شود؟"

هشدارهای سایبری رشد می کنند

اگر پیشگیری بهترین دارو باشد، تعداد زیادی از مکان ها اسکریپت دریافت نمی کنند.

گزارش امنیتی امنیت شرکت Netscout در سراسر جهان، حملات امنیتی را که شبکه های وب را در بیمارستان ها و دفاتر پزشکان شناخته اند و "حملات انکار سرویس توزیع شده" (DDoS) در 12 ماه گذشته به 1400 درصد افزایش یافته است، کشف کردند.

با وجود اینکه سه چهارم سازمان های بهداشتی در یک نظرسنجی اخیر گفتند که در سال گذشته "یک حادثه مهم امنیتی" داشته اند، تنها 9 درصد از سازمان های مراقبت های بهداشتی معتقدند که یکپارچگی زنجیره تامین یک تهدید بالقوه سایبری است.

وزارت امنیت داخلی فکر می کند در غیر این صورت.

در تحقیق انجام شده برای واحد تحقیقاتی ملی تلویزیون هارست، DHS اعلام کرده است که در سال مالی گذشته (29) بیشتر هشدارهای آسیب پذیری در مورد دستگاه های پزشکی را منتشر کرده است که از پنج سال پیش تلف شده است (23). این اداره گفت که آسیب پذیری های گزارش شده برای همه بخش ها - نه فقط پزشکی - از سال 2016 بیش از دو برابر افزایش داشته است، به 1302 در سال مالی 2018.

آیا ارائه دهنده خدمات پزشکی شما نقض سایبری رنج می برد؟ برای مشاهده نقض اطلاعات توسط: دولت، شرکت، نوع نقض، محل نقض، تاریخ و تعداد افرادی که تحت تأثیر قرار گرفته اند، در حال حاضر تحت بررسی وزارت امور خارجه ایالات متحده از اداره بهداشت و خدمات انسانی حقوق مدنی هستند.

تهدید رو به رشد سایبری این است که چرا دانیل بارد، مامور ارشد فناوری در ارواین، نرم افزار Promenade Software مبتنی بر کالیفرنیا که نرم افزار را برای وسایل پزشکی می سازد، کمک کرد تا سازمان اطلاعات تجزیه و تحلیل اطلاعات پزشکی (MedISAO) را راه اندازی کند. با نعمت اداره غذا و داروی، آن را به عنوان یک مرکز پاکسازی برای سازندگان دستگاه های معمول رقابت می کند تا داده ها را در مورد آسیب پذیری هایی که بر روی دستگاه های چندگانه تاثیر می گذارد - نه تنها از یک شرکت تاثیر می گذارد.

رید در یک مصاحبه توضیح داد: "اگر شما یک هکر هستید و به دنبال کسب بزرگترین سود هستید، می توانید به یک دستگاه پزشکی حمله نکنید. شما قصد حمله به کتابخانه ای که در آن استفاده می شود صدها دستگاه پزشکی. "

"کتابخانه" مخزن داده ها در یک دستگاه است، تقریبا همیشه کد برنامه های شخص ثالث را به چندین مشتری ارائه می دهد که تولید کنندگان می توانند برای استفاده در دستگاه دیگری در اختیار داشته باشند.

Wannacry شوک سایبری به یک سیستم مراقبت بهداشتی بود که بسیاری پیش بینی کرده بودند.

در سال 2017، بدافزار مخرب 16 بیمارستان در سراسر بریتانیا را تعطیل کرد. ایالات متحده آمریکا کره شمالی را متهم کرد. کارشناسان می گویند، ملت ها، بازیگران غیر دولتی، هکرها و دیگران در هنگام راه اندازی اعتصابات اینترنتی، از جمله به دلایل سیاسی یا مالی یا به سادگی برای کنجکاوی یا سرگرمی، انگیزه های گوناگونی دارند.

دکتر Dameff هشدار داد: "ما درس WannaCry را در ایالات متحده آموختیم."

دکتر توللی اضافه کرد: "چرا ما باید صبر کنیم تا مردم از این موضوع صدمه ببینند؟ چرا ما نمی توانیم مانع از این اتفاق شود؟"

هشدارهای سایبری رشد می کنند

اگر پیشگیری بهترین دارو باشد، تعداد زیادی از مکان ها اسکریپت دریافت نمی کنند.

گزارش امنیتی امنیت شرکت Netscout در سراسر جهان، حملات امنیتی را که شبکه های وب را در بیمارستان ها و دفاتر پزشکان شناخته اند و "حملات انکار سرویس توزیع شده" (DDoS) در 12 ماه گذشته به 1400 درصد افزایش یافته است، کشف کردند.

با وجود اینکه سه چهارم سازمان های بهداشتی در یک نظرسنجی اخیر گفتند که در سال گذشته "یک حادثه مهم امنیتی" داشته اند، تنها 9 درصد از سازمان های مراقبت های بهداشتی معتقدند که یکپارچگی زنجیره تامین یک تهدید بالقوه سایبری است.

وزارت امنیت داخلی فکر می کند در غیر این صورت.

در تحقیق انجام شده برای واحد تحقیقاتی ملی تلویزیون هارست، DHS اعلام کرده است که در سال مالی گذشته (29) بیشتر هشدارهای آسیب پذیری در مورد دستگاه های پزشکی را منتشر کرده است که از پنج سال پیش تلف شده است (23). این اداره گفت که آسیب پذیری های گزارش شده برای همه بخش ها - نه فقط پزشکی - از سال 2016 بیش از دو برابر افزایش داشته است، به 1302 در سال مالی 2018.

آیا ارائه دهنده خدمات پزشکی شما نقض سایبری رنج می برد؟ برای مشاهده نقض اطلاعات توسط: دولت، شرکت، نوع نقض، محل نقض، تاریخ و تعداد افرادی که تحت تأثیر قرار گرفته اند، در حال حاضر تحت بررسی وزارت امور خارجه ایالات متحده از اداره بهداشت و خدمات انسانی حقوق مدنی هستند.

تهدید رو به رشد سایبری این است که چرا دانیل بارد، مامور ارشد فناوری در ارواین، نرم افزار Promenade Software مبتنی بر کالیفرنیا که نرم افزار را برای وسایل پزشکی می سازد، کمک کرد تا سازمان اطلاعات تجزیه و تحلیل اطلاعات پزشکی (MedISAO) را راه اندازی کند. با نعمت اداره غذا و داروی، آن را به عنوان یک مرکز پاکسازی برای سازندگان دستگاه های معمول رقابت می کند تا داده ها را در مورد آسیب پذیری هایی که بر روی دستگاه های چندگانه تاثیر می گذارد - نه تنها از یک شرکت تاثیر می گذارد.

رید در یک مصاحبه توضیح داد: "اگر شما یک هکر هستید و به دنبال کسب بزرگترین سود هستید، می توانید به یک دستگاه پزشکی حمله نکنید. شما قصد حمله به کتابخانه ای که در آن استفاده می شود صدها دستگاه پزشکی. "

"کتابخانه" مخزن داده ها در یک دستگاه است، تقریبا همیشه کد برنامه های شخص ثالث را به چندین مشتری ارائه می دهد که تولید کنندگان می توانند برای استفاده در دستگاه دیگری در اختیار داشته باشند.

ریش، با استفاده از صفحه نمایش لپ تاپ و تلویزیون، نشان داد که چگونه شرکت خود یک کتابخانه نرم افزاری را برای آسیب پذیری، به ویژه آنهایی که می توانند مورد سوء استفاده قرار بگیرند، اسکن می کنند. در یک روز در ماه مارس، این برنامه 30 نقطه ضعف احتمالی را در نرم افزار شناسایی کرد. Promenade در حال برنامه ریزی برای استفاده در دستگاه چشم پزشکی است. هر آسیب پذیری در فونت قرمز برجسته شد.

فرهنگی که در حال رشد و در عین حال پرجمعیت است، فرهنگ به اشتراک گذاری اطلاعات بخشی از تکامل در جامعه دستگاه پزشکی است، که عادت به افشای اطلاعات خصوصی به رقبا و یا حفظ محصولات خود را با آخرین حفاظت از سایبر پس از خرید به روز شده است.

"هنگامی که شما یک دستگاه را به یک بیمارستان فروختید، باید برنامه ای برای چگونگی به روز رسانی آن را داشته باشید؛ به نظر می رسد که شما در حال رفع آسیب پذیری های جدید هستید." او گفت که سالهاست که در طرح کسب و کار تولید کنندگان دستگاه های پزشکی قرار نگرفته است.

"به وضوح 10 تا 15 سال پشت"

ریش یک متحد شگفت انگیز در مایکل مک نیل، افسر امنیت جهانی و خدمات Philips Healthcare است که در مصاحبه ای اعلام کرد که صنعتش "به وضوح 10 تا 15 سال پشت سر گذاشته" در امنیت آن است.

McNeil گفت: "من متاسف خواهم بود زیرا به علت پریشانی بودن، ما می توانیم به سرعت بخشیدن و حرکت صنعت در مسیر درست کمک کنیم."

در یک نشست FDA ژانویه در مورد مدیریت امنیت سایبر در دستگاه های پزشکی در خارج از واشنگتن، D.C.، McNeil از همتایان خود پرسید - به گفته وی - "قدم زدن" برای مقابله با چالش.

FDA این رویداد را با استفاده از صدها نفر از سهامداران صنعت مورد استفاده قرار داده است تا ابزارهای جدید امنیتی سایبرنوری را برای رسیدن به تأیید مورد نیاز خود قرار دهند.

دکتر سوزان شوارتز، معاون مدیر دفتر همکاری های استراتژیک و نوآوری های فناوری در مرکز دستگاه ها و بهداشت رادیولوژی در FDA، تلاش می کند و در مصاحبه ای تصریح کرد که هیچ پایگاه مرکزی ای وجود ندارد که حملات سایبری علیه بیمارستان ها و مراقبت های بهداشتی را دنبال کند ارائه دهندگان و عواقب آن حوادث.

دکتر شوارتز پاسخ داد: "بله، آن را بپرسید که آیا این امر مفید خواهد بود که چنین مخزنی از حوادث در سراسر کشور داشته باشد.