سازمان FBI نحوه رمزشکنی بدافزار GandCrab را منتشر کرد

در FBI Flash Alert، FBI نسخه اصلی 4، 5، 5.0.4، 5.1 و 5.2 Gandcrab Ransomware منتشر کرده است. با استفاده از این کلید ها، هر فرد یا سازمان می تواند رمزگشایی GandCrab بسیار خود را ایجاد و منتشر کند.

در 1 ژوئن 2019، توسعه دهندگان پشت موفقیت آمیز GandCrab Ransomware اعلام کردند که پس از ادعا شدن 2 میلیارد دلار در پرداخت های جبران خساره و هک و بسته شدن 150 میلیون دلار خود، فروشگاه آنها را بسته بودند.

دو هفته بعد، در همکاری با Europol، FBI، سازمان های متعدد اجرای قانون و NoMoreRansom، Bitdefender یک رمزگشایی برای فایل های رمزگذاری شده توسط نسخه های GandCrab نسخه های 1، 4 و 5 تا 5.2 را منتشر کرد.

در حالی که اعلام نشده است که چگونه Bitdefender دسترسی به این کلیدها را به دست آورد، به طور گسترده ای در نظر گرفته شده است که آنها قادر به دسترسی به سرورهای فرمان و کنترل ransomware برای دانلود کلید هستند.

FBI اجازه می دهد تا هر کس یک decryptor GandCrab ایجاد کند

در "FBI Flash Alert" با BleepingComputer به اشتراک گذاشته شد، سه کلید رمزگشایی برای GandCrab Ransomware به اعضای برنامه InfraGard FBI منتشر شد.

بولتنهای منتشر شده توسط FBI از طریق InfraGard با استفاده از پروتکل ترافیک نور طبقه بندی میشوند که این امر نحوه به اشتراک گذاشتن اطلاعات را تعیین میکند. این هشدار با عنوان "کلید رمزگشایی Master برای GandCrab، نسخه 4 تا 5.2" به عنوان یک بولتن TLP: White منتشر شد که بدین معناست که اطلاعات بدون محدودیت قابل افشاء است.

علاوه بر کلید های رمزگشایی اصلی، بولتن توضیح می دهد که چگونه GandCrab RaaS عمل می کند و آمار مرتبط است.

"در 17 ژوئن 2019، FBI، با همکاری سازمان های اجرای قانون از 8 کشور اروپایی، و همچنین Europol و BitDefender، یک ابزار رمزگشایی را برای همه نسخه های GandCrab ransomware منتشر کرد. ابزار رمزگشایی را می توان در www.nomoreransom یافت. org. تلاش های مشترک، کلید های اصلی رمزگشایی را برای همه نسخه های جدید GandCrab که از ژوئیه 2018 معرفی شده، شناسایی کرده اند. FBI کلیدهای اصلی را برای تسهیل توسعه ابزارهای رمزگشایی اضافی باز می کند.

GandCrab با استفاده از یک مدل کسب و کار ransomware-as-a-service (RaaS) عمل می کند، فروش حق پخش تروجان را به وابستگان در عوض 40٪ از پس انداز. GandCrab ابتدا در ژانویه 2018 به شرکت های کره جنوبی آلوده شد، اما کمپانی های GandCrab به سرعت در سراسر جهان گسترش یافتند تا قربانیان ایالات متحده در اوایل سال 2018 را شامل شوند و حداقل 8 بخش مهم زیربنایی را تحت تاثیر قرار دهند. به عنوان یک نتیجه، GandCrab به سرعت در حال افزایش است تا تبدیل به برجسته ترین ریسوموار مبتنی بر وابسته شود و تخمین زده می شود که 50 درصد از سهم بازار را در اختیار دارد تا اواسط سال 2018. کارشناسان تخمین زده اند که GandCrab بیش از 500،000 قربانی را در سراسر جهان آلوده کرده است، که باعث تلفات بیش از 300 میلیون دلار می شود. "

کلید رمزگشایی استاد GandCrab

در پایین کلید رمزگشایی استاد برای نسخه های GandCrab 4، 5، 5.0.4، 5.1، و 5.2 است.

برای استفاده از آنها به درستی، شما باید خود را با روش های رمزنگاری مورد استفاده در نسخه های مختلف GandCrab آشنا کنید. مقدمه خوبی در مورد الگوریتم رمزنگاری مورد استفاده در نسخه 4 در این مقاله توسط Fortinet یافت می شود.

Ransomwareها قربانی بعدی را از MSP گرفتند. اطلاعات مشتریان فاش شد!

هکرها MSPs را خراب می کنند و از کنسول Webroot SecureAnywhere برای آلوده کردن رایانه های شخصی با Ransomware Sodinokibi استفاده می کنند.

بنیاد ransomware زیرساخت حداقل سه ارائهدهنده سرویسدهنده مدیریت (MSP) را نقض کرده است و از ابزارهای کنترل از راه دور در اختیار آنها، یعنی کنسول Webroot SecureAnywhere، برای استفاده از سیستمهای رانوموئر در سیستم مشتریان MSPs استفاده کرده است.

عفونت های ransomware برای اولین بار در بخش Reddit اختصاص یافته به MSPs - شرکت هایی که خدمات از راه دور IT و پشتیبانی از شرکت ها در سراسر جهان را ارائه می دهند، امروزه گزارش شده است.

کایل Hanslovan، یکی از بنیانگذاران و مدیر عامل شرکت Huntress Lab، آنلاین بود و به برخی از MSPs تاثیر گذار در مورد حوادث کمک کرد.

هکرها از طریق RDP دریافت کردند

Hanslowan گفت که هکرها از طریق RDP (Remote Pointing Point Remote)، امتیازات بالا در سیستم های به خطر افتاده و دستی حذف محصولات AV مانند ESET و Webroot، MSP ها را از بین برد.

در مرحله بعد از حمله، هکرها حسابهای Webroot SecureAnywhere، نرم افزار مدیریت از راه دور (کنسول) مورد استفاده توسط MSPs را برای مدیریت ایستگاه های کاری مستقر از راه دور (در شبکه مشتریان خود) جستجو کردند.

با توجه به Hanslovan، هکرها از کنسول برای اجرای یک اسکریپت Powershell در ایستگاه های کاری از راه دور استفاده می کردند؛ اسکریپت که دانلود و نصب sansomware Sodinokibi.

مدیر عامل شرکت شکارچی گفت که حداقل سه MSP به این ترتیب آموزش هک شده اند. برخی از کاربران Reddit همچنین گزارش دادند که در بعضی موارد ممکن است هکرها از کنسول مدیریت راه دور Kaseya VSA استفاده کرده باشند، اما این هیچگاه رسما تایید نشده است.

هانسلووان گفت: "دو شرکت ذکر شده تنها میزبانانی بودند که Webroot را آلوده کرده بودند." "با توجه به کنسول مدیریت Webroot، مدیران اجازه می دهند از فایل های نقطه به نقطه از راه دور فایل ها را دانلود و اجرا کنند، این به نظر می رسد یک بردار حمله قابل قبول است."

WEBROOT DEFLOWERS 2FA برای حساب های امن

براساس یک ایمیل Hanslovan دریافت کرد، Webroot بعدا در روز شروع به اعمال قدرت مجاز به تأیید احراز هویت دو عامل (2FA) برای حسابهای SecureAnywhere کرد، امیدوار بود که هکرها از هر گونه حساب دیگر که به طور بالقوه ربوده شده است، برای استفاده از رنج نرم افزار جدید در طول روز استفاده کنند.

SecureAnywhere از 2FA پشتیبانی می کند که به طور پیش فرض برای همه کاربران فعال است، اما برخی از کاربران ظاهرا آن را خاموش کرده اند. در این ایمیل، این شرکت اعلام کرد که 2FA مجددا فعال خواهد شد، بدون این که کاربران بتوانند آن را غیر فعال کنند.

"اخیرا تیم تروجان پیشرفته Webroot کشف کرد که تعداد کمی از مشتریان تحت تاثیر یک بازیگر تهدید قرار گرفته است که با استفاده از ترکیبی از شیوه های بهداشت روانی سنتی مشتری در حوزه تأیید هویت و RDP،" چاد باخر، SVP محصولات، WEBROOT، شرکت کربنیت، به ZDNet از طریق ایمیل به ZDNet گفت.

وی افزود: "برای اطمینان از بهترین حفاظت برای کل جامعه مشتری وبروت، ما تصمیم گرفتیم زمان لازم برای احراز هویت دو عامل را اجباری کنیم. ما این کار را با انجام خروج کنسول و به روز رسانی نرم افزار صبح روز 20 ژوئن انجام دادیم."

"ما همه می دانیم که احراز هویت دو عامل (2FA) یک روش بهتر برای بهداشت سایبر است و ما مشتریان را برای استفاده از کنسول داخلی 2ROAS کنسول Webroot تشویق کردیم. ما همیشه از محیط تهدید نظارت می کنیم و همچنان اقدامات پیشگیرانه مانند این را ادامه دهید تا بهترین محافظت را برای مشتریان فراهم کنید. "

نرم افزار Sodinokibi rensomware نسبتا جدید است که در اواخر آوریل کشف شد. در آن زمان یک بازیگر تهدید با استفاده از اوراکل WebLogic صفر روز برای هک کردن شبکه های شرکت و نصب ransomware بود.

حادثه امروز موج دوم حملات عمده است که طی آن هکرها MSP ها و ابزارهای کنترل از راه دور خود را برای استفاده از ransomware در شبکه های مشتریان خود سوء استفاده کردند.

اولین حادثه در اواسط ماه فوریه اتفاق افتاد زمانی که یک گروه هکر استفاده از آسیب پذیری ها در ابزارهای معمول MSP برای استفاده از Ransomware GandCrab در ایستگاه های کاری مشتریان.

به طور تصادفی، در زمان وقوع این حادثه در Reddit، رسانه های محلی در رومانی گزارش دادند که پنج بیمارستان به وسیله ی ransomware در بوخارست، پایتخت کشور آلوده شده اند. با این حال، شواهدی وجود ندارد که دو رویداد در خارج از دوران عفونت ارتباط داشته باشند.

باج خواهی هکرهای شهر بالتیمور از آمریکا!

مردم بالتیمور هفته پنجم خود را تحت محاصره الکترونیکی آغاز می کنند که مانع از دریافت مجوز های ساختمانی و مجوز کسب و کار شده و حتی خرید و فروش خانه ها شده است. یک سال پس از اینکه هکرها سیستم ارسال سیستم اضطراری شهر را مختل کردند، کارکنان شهر در سراسر شهر نمیتوانند، از جمله موارد دیگر، از حسابهای ایمیل دولتی خود استفاده کنند یا تجارت منظم شهر را انجام دهند.

در این حمله، یک نوع نرم افزار مخرب به نام ransomware فایل های کلیدی را رمزگذاری کرده و آنها را غیر قابل استفاده می کند تا زمانی که شهر مهاجمان ناشناس 13 bitcoin را پرداخت کند یا حدود 76،280 دلار آمریکا را پرداخت کند. اما حتی اگر شهر پرداخت شود، هیچ تضمینی وجود ندارد که پرونده های آن تمام شود؛ بسیاری از حملات ransomware با اطلاعاتی که از دست داده اند، پایان می یابند.

حملات مشابه در سال های اخیر، خدمات ملی بهداشتی انگلیس را تحویل داده است، حمل و نقل غول پیکر Maersk و دولت های محلی، ایالتی و ایالت ایالت متحده در سراسر ایالات متحده و کانادا.

این نوع حملات بیشتر در حال تبدیل شدن و توجه بیشتر به رسانه ها است. صحبت کردن به عنوان یک حرفه حرفه ای در زمینه امنیت سایبری، جنبه های فنی حوادث مانند این، تنها بخشی از یک تصویر بسیار بزرگتر است. هر کاربر تکنولوژی باید نه تنها تهدیدات و آسیب پذیری ها را در نظر بگیرد، بلکه باید فرآیندهای عملیاتی، نقاط نقص احتمالی و نحوه استفاده از تکنولوژی را هر روزه در نظر بگیرند. فکر کردن به جلو و اقدامات محافظتی می تواند به کاهش اثرات حوادث سایبری در افراد و سازمان ها کمک کند.

نرم افزار طراحی شده برای حمله به رایانه های دیگر چیزی جدیدی نیست. ملل، شرکت های خصوصی، محققان و مجرمان فردی همچنان در حال توسعه این نوع برنامه ها برای طیف وسیعی از اهداف، از جمله جنگ های دیجیتال و جمع آوری اطلاعات و همچنین اخاذی توسط ransomware هستند.

بسیاری از تلاش های مخرب به عنوان یک عملکرد عادی و حیاتی از امنیت سایتی آغاز می شود: شناسایی آسیب پذیری های نرم افزاری و سخت افزاری که می تواند توسط مهاجم مورد سوء استفاده قرار گیرد. سپس محققان امنیتی به آسیب پذیری نزدیک می شوند. در مقابل، توسعه دهندگان نرم افزارهای مخرب، جنایی و غیره، متوجه خواهند شد که چگونه از طریق باز کردن آن کشف شده، کشف شده و به طور بالقوه ویرانی در سیستم های هدف قرار بگیرند.

گاهی اوقات یک ضعف واحد به اندازه کافی برای دسترسی به آنها که می خواهند مزاحم است. اما زمانیکه دیگر مهاجمان از تلفیق چندین آسیب پذیری برای نفوذ به یک سیستم استفاده می کنند، کنترل، سرقت اطلاعات و تغییر یا حذف اطلاعات را در هنگام تلاش برای مخفی کردن هر گونه شواهدی از فعالیت خود را از برنامه های امنیتی و پرسنل استفاده می کنند. چالش اینقدر بزرگ است که هوش مصنوعی و سیستم های یادگیری ماشین در حال حاضر نیز برای کمک به فعالیت های امنیتی سایبری کمک می کنند.

بعضی از سوالاتی در مورد نقش دولت فدرال در این وضعیت وجود دارد، زیرا یکی از ابزارهای هکری که ماموران گزارش کرده اند در بالتیمور استفاده می شود توسط آژانس امنیت ملی ایالات متحده تهیه شده است که سازمان امنیت ملی آمریکا آن را انکار کرده است. با این حال، ابزار هک از NSA در سال 2017 توسط گروه هکرها به سرقت رفته است. شرکت Shadow Brokers برای راه اندازی حملات مشابه طی چند ماه از ابزارهایی که در اینترنت منتشر شد استفاده شد. مطمئنا، این ابزار نباید هرگز از NSA ربوده شود - و باید بهتر از آن محافظت شود.

اما دیدگاه های من پیچیده تر از این است: به عنوان یک شهروند، من مسئولیت NSA را برای تحقیق و توسعه ابزار پیشرفته برای محافظت از کشور و اجرای مأموریت امنیتی ملی خود، به رسمیت می شناسم. با این حال، مانند بسیاری از متخصصان امنیت سایبری، من با این موضوع مخالفت می کنم: هنگامی که دولت یک آسیب پذیری جدید را شناسایی می کند، اما سازنده سخت افزار یا نرم افزار آسیب دیده را تا زمانی که از آن استفاده نمی شود به علت تخریب یا افشای ناگهانی نرسد، در معرض خطر است.

واکنش واضحی به ransomware وجود ندارد

برخی از قربانیان پرداخت می کنند، اما اطلاعات خود را دریافت نمی کنند؛ دیگران پرداخت نمی کنند و آنچه را که از دست داده اند را بهبود می یابند.

وضعیت شهر بالتیمور

تخمین زده شده است که 18 میلیون دلار هزینه بازیابی در بالتیمور پولی است که شهر احتمالا به آسانی در دسترس نیست. تحقیقات اخیر توسط برخی از همکاران من در دانشگاه مریلند، کالج بالتیمور، نشان می دهد که بسیاری از دولت های ایالتی و محلی، به طرز شگفت آوری کم پیش بینی شده اند و به اندازه کافی، صرفا به طور فعالانه، با چالش های بسیاری در زمینه امنیت سایبری مواجه هستند.

در مورد این است که حمله ransomware در بالتیمور یک آسیب پذیری را که بیش از دو سال از آن به طور عمومی شناخته شده است - با یک رفع در دسترس برخوردار است. NSA یک اکتیویته (کد EternalBlue) را برای این ضعف امنیتی کشف کرده است اما مایکروسافت در مورد این آسیب پذیری امنیتی بحرانی تا اوایل سال 2017 هشدار داده و تنها پس از اینکه کارکنان سایه ابزار NSA را برای حمله به آن دزدیده اند، اخطار دادند. به زودی مایکروسافت یک به روز رسانی امنیتی نرم افزاری را برای رفع این نقص کلیدی در سیستم عامل ویندوز خود منتشر کرد.

رویارویی بالتیمور با حملات سایبری ransomware

سیاستمدارانی که نماینده یک شهر آمریکا در اثر حملات ransomware هستند، از سوالاتی از آژانس امنیت ملی پس از ادعاهایی که باعث نقض این امر شده اند، می پردازند.

نیویورک تایمز روز شنبه اعلام کرد که یک آسیب پذیری هک شده به نام EternalBlue برای سوء استفاده از دولت محلی بالتیمور مورد سوء استفاده قرار گرفته است.

NSA این نقص را کشف کرد، اما این مقاله ادعا می کند که جاسوس های اینترنتی خود را برای سال ها کشف کرده است.

NSA رد کرد که نظر بدهد

اما این گزارش تحریک ویژه ای را به همراه دارد، زیرا این سازمان در فورت ماید، مریلند مستقر است که درایو کوتاهی از بالتیمور است.

یک سخنگوی NSA به بی بی سی گفت: "ما برای شما در این زمینه چیزی نداریم."

نقص EternalBlue در طیف وسیعی از حملات سایبری طی سه سال گذشته، از جمله حمله WannaCry که باعث اختلال NHS در انگلستان شده است، متاثر شده است.

این شامل یک اشکال در نسخه های قدیمی سیستم عامل مایکروسافت ویندوز است که اجازه می دهد تا دیگر کدهای مخرب در رایانه های آلوده اجرا شود.

نیویورک تایمز گفته است که این سازمان بیش از پنج سال از این مسئله برای مایکروسافت خبر نداشته است، تا زمانی که یک نقض آن را دستکاری کند.

مایکروسافت در مارس 2017 یک نقص در EternalBlue را رفع کرد.

چند هفته بعد، گروهی که خودش را می خواند، Brokers سایه ها ابزار هک مربوط به NSA را به صورت آنلاین منتشر کرد.

NSA هرگز تایید نکرده است که چگونه کنترل کدهای آن را از دست داده و به طور رسمی در این مورد اظهار نظر نکرده است.

اما پیشنهاد این است که اگر آن یافته های خود را با مایکروسافت در یک مرحله اولیه به اشتراک گذاشته شود، کامپیوترهای کمتری در معرض حملات بعدی قرار گرفتند که از آسیب پذیری استفاده می کردند.

قفل کردن ایمیل

رایانه های دولتی شهر بالتیمور در 7 ماه مه باقی ماندند و پس از آنکه فایل هایشان به صورت دیجیتالی کشیده شدند.

مسئولان جنایتکاران 13 بیت کوین (114،440 دلار، 90،200 پوند) برای باز کردن همه آنها، یا سه بیت کوین برای انتشار سیستم های خاص پیش از مهلت تعیین شده، که اکنون به تصویب رسیده اند، خواستار شدند.

مقامات حاضر شدند.

ساکنان محلی قادر به پرداخت صورتحسابهای برق، بلیط پارکینگ و برخی از مالیات آنلاین در نتیجه نیستند.

علاوه بر این، کارکنان قادر به ارسال یا دریافت ایمیل از حساب های معمول خود نیستند.

سناتور کریس ون هولن و نماینده کنگره هلند روپرسبرگر روزنامه "بالتیمور سان" گفته اند که اکنون به دنبال "جلسه کامل" به طور مستقیم از سازمان امنیت ملی آمریکا هستند.

سناتور به این مقاله گفت: "ما باید اطمینان حاصل کنیم که ابزارهایی که توسط سازمان های ما ایجاد شده، به دست بازیگران بد عمل نمی کنند."

برخی از کارشناسان امنیتی می گویند اگر EternalBlue واقعا درگیر باشد، مدیران فناوری اطلاعات باید مدت ها پیش آن را نصب کرده اند.

اما یک مشاور متوجه شد که این ممکن است ساده تر از انجام شود.

تروی هانت می گوید: "برای برخی از سازمان ها، تکه کردن می تواند یک تمرین بی اهمیت باشد، حتی با چند سال زمان سربازی."

برای مثال، سیستم های تخصصی مانند دستگاه های پزشکی اغلب برای مدت زمان طولانی باز می شود.

"از بین بردن این ریسک عوامل مانند دستگاه هایی هستند که به اینترنت متصل نیستند. با وجود این که با وجود اینکه EternalBlue دو سال پس از رفع آنها عفونت را مشاهده می کرد، اما هنوز سیستم هایی وجود دارد که بدون آن هم در دسترس نیستند."

این دقیقا صحبت از شهر در اینجا نیست - پس از همه، آن را مانند فیس بوک کاهش یافته است، صرفا خدمات عمومی مهم است.

برای کسانی که تحت تأثیر قرار گرفته اند، بسیار خسته کننده است - فروش خانه تاخیری در اینجا، یک کسب و کار جدید است که نمی تواند در آن زمان باز شود. یک نفر به من گفت که چگونه آنها نتوانسته اند محل برگزاری عروسی خود را در مکانی که متعلق به شهر است، پرداخت کنند.

یکی دیگر به من گفت که آنها نمیتوانند برای پرداخت بلیط پارکینگ به اینترنت بپردازند - این به آن معنی نیست که به نظر میرسد به من اعتماد کند.

یک ضربه بیشتر در دندان ها برای این شهر، پیشنهاد این است که این حمله از یک سوء استفاده کشف شده توسط نه روس ها یا چینی ها، بلکه توسط یک سازمان مستقر در فاصله 20 مایل - آژانس امنیت ملی آمریکا استفاده کرد.

مقامات شهر می خواهند پاسخی در این باره بدهند، اما مردم محلی نمی خواهند آن را یک سرزنش کنند. هشدارهای مکرر در مورد سرمایه گذاری شدید در زیرساخت های فناوری دولتی وجود دارد.

SQL server در معرض حمله سایبری ransomware ها هستند

اگر کلاهبرداران می خواهند به سیستم شما دزدکی داشته باشند، آنها گزینه های بسیار زیادی دارند.

آنها می توانند برخی از هک های جدی را انجام دهند، از آسیب پذیری ها و سوءاستفاده ها استفاده می کنند تا از کنترل های امنیتی که در حال حاضر در محل خود استفاده می کنند جلوگیری کرده و سرورهای خود را به نرم افزار اجرا کند که قرار نیست انجام شود.

یا آنها می توانند بدون هیچ گونه جیگری پوکر سطح پایین، با استفاده از ورود رسمی و استفاده از دستورات سیستم رسمی آشنا شوند.

به جای استفاده از یک اتومبیل به سرقت رفته است که یک تاکسی به سرقت بانک متوسل شده است - این چیزی نیست که خیلی چیزهای زیادی به کار رفته باشد، اما شما هیچ راه حلی برای این کار ندارید.

همانطور که خوانندگان معمولی می دانند، یکی از ابزارهای محبوب برای کلاهبرداران بدافزار در حال حاضر ویندوز RDP است، کوتاه برای پروتکل دسک تاپ از راه دور.

متأسفانه، ما در سال های اخیر چندین بار در مورد وقایع امنیتی RDP نوشتیم که اجازه می دهد تا کلاهبرداران به شبکه شما وارد شوند، به شرط اینکه آنها سیستم های صحیح واقعی هستند ...

... بجز اینکه به جای ثابت کردن چیزها، آنها را به جای آن شکست می دهند و سپس پول می پردازند تا خسارت را به خوبی انجام دهند.

اما RDP تنها راه محبوب برای crooks نیست.

ما اخیرا تحقیقات honeypot را برای حملات SSH منتشر کردیم، جایی که SSH برای Secure Shell، یک سیستم دسترسی از راه دور است که حتی بیشتر در آموزش لینوکس و یونیکس از RDP در ویندوز استفاده می شود.

(SSH نیز در سرورهای ویندوز محبوب است، اما پیروزی نزدیک به 100٪ که در مورد پسر عموی Unixy آن انجام می شود ندارد.)

تحقیق ما یک تصویر واضح نشان داده است که چقدر سایبرکرین انرژی آماده است تا با استفاده از روش های غیرقابل دسترس، به شبکه شما دسترسی پیدا کند.

استفاده از ابزارهای غیرقانونی قانونی برای ورود غیرقانونی، نه تنها کریکت سایبری را به مجموعه گسترده ای از مهاجمان باز می کند، بلکه خطر ابتلا به تشخیص سوءاستفاده یا ایجاد سقوط سرور را نیز از بین می برد.

متاسفانه، کلاهبرداران فقط از SSH و RDP به عنوان ابزار حمله عمومی استفاده نمی کنند.

بسیاری از سرویس های آنلاین دیگر مانند برخی از شما ممکن است انتظار نداشته باشید که به عنوان یک خط فرمان به همان اندازه خوب است، در صورتی که فقط می توانید به آنها متصل شوید.

به عنوان مثال، یک سرور MySQL ناامن فقط راه نقض اطلاعات نیست.

این نیز بسیار موثر، اگر غیر متعارف، جایگزین برای RDP و یا SSH برای اجرای نرم افزار از راه دور.

در اینجا یک نمونه شگفت انگیز است که اخیرا توسط honeypot SophosLabs گرفته شده است که در بندر TCP 3306، پورت دسترسی پیش فرض برای MySQL گوش دادن است.

سرور فریبنده تاکید کرد که یک نمونه ناامن از MySQL است که هکرها می توانند آن را پیدا کنند، پروب و اتصال به آن را داشته باشند.

Honeypots به طور عمدی هکرها را جذب می کند تا پیگیری تکنیک های حمله که در حال حاضر کلاهبرداران از آن استفاده می کنند - البته در حد محدودیت ها، به دلیل اینکه honeypot نباید اجازه دهد کلاهبرداران هر گونه آسیبی واقعی را تحمل کنند.

اپراتورهای Honeypot باید مراقب باشند تا بخشی از راه حل بدون تبدیل شدن به بخشی از مشکل باشند. به عنوان مثال، اگر شما در حال تلاش برای فهمیدن در اسپم ها با چه چیزی شبیه یک کامپیوتر زامبی است که آماده است و انتظار دارد تا ایمیل های ناخواسته را از بین ببرد، شما باید به اندازه کافی به اندازه کافی برای ایجاد کلاهبرداران پیام هایی که می خواهید ارسال کنید، اضافه کنید ضمیمههایی که میخواهند توزیع کنند، و نشان دهند که چه تعداد افرادی که میخواهند هرزنامه باشند. اما شما نباید اجازه دهید که هیچ کدام از پیامهای مضحک را بیرون بیاورید، یا به هر حال شما کلاهبرداران را به سرویس رایگان هرزنامه می دهید.

در حمله مبتنی بر SQL گرفته شده توسط SophosLabs، کلاهبرداران تلاش کردند تا سرور MySQL honeypot را به یک ربات اجرایی کد از راه دور تبدیل کنند، با استفاده از یک توالی مثل این:

به سرور وصل شوید.

حدس و گمان اعتبار یک کاربر مجاز و وارد شوید

یک جدول پایگاه داده بیگناه ایجاد کنید و یک رکورد متنی را که شامل متن است که در واقع یک فایل اجرایی ویندوز در هگزادسیمال است اضافه کنید.

داده های هگزادسیمال را رمزگشایی کرده و آن را به عنوان یک فایل محلی به نام cna12.dll ذخیره کنید. (DLL یک نوع خاص از برنامه ویندوز طراحی شده است که توسط یک برنامه کاربردی که در حال اجرا است برای اضافه کردن ویژگی های اضافی لود می شود.)

دستورالعمل سرور برای بارگذاری DLL جدید به عنوان یک پلاگین MySQL شناخته شده به عنوان یک کاربر تعریف شده (UDF)،

یک تابع در پلاگین جدید برای تهیه و اجرای نرم افزارهای مخرب با استفاده از HTTP.

به عبارتی، کلاهبرداران از MySQL به عنوان یک زامبی به طور کامل از راه دور کد با استفاده از سیستم MySQL UDF پلاگین استفاده می کنند که اجازه می دهد تا ویژگی های اضافی به سرور در زمان اجرا وارد شود.

حمله به خصوص پیچیده نبود، زیرا کلاهبرداران نتوانستند متوجه شوند که honeypot لینوکس را اجرا می کرد و کد اجرایی خاص را برای نسخه ویندوز MySQL آپلود کرد.

با این وجود، اگر سرور ویندوز را اجرا می کرد، سپس HTTP را دانلود کنید در مرحله 6 بالا ...

... می تواند ransomware را به عنوان GandCrab شناخته شود.

برای تجزیه و تحلیل دقیق تکنیک های استفاده شده در این حمله و برای IoC ها (شاخص های سازش) می توانید برای بررسی پرونده های مشابه در سرورهای خود، لطفا تجزیه و تحلیل فنی سایت ما، Sophos News را بخوانید.

چه کاری باید انجام دهید؟

حکمت دریافت می کند که شما نباید به این نوع حمله آسیب برسانید.

انفجار بزرگ جهانی SQL Slammer در سال 2003 باید همه ما را به نگهداری سرورهای SQL خود از اینترنت متهم کرد و پتانسیل سوء استفاده از ویژگی UDF MySQL تا مدت طولانی مستند شده است.

اما این واقعیت که ما هنوز در حال تلاش برای دستیابی به پیچیدگی های خودکار و تلاش برای از بین بردن پورت های اینترنتی در اینترنت است یادآوری می کنیم که ما هنوز اشتباهات قدیمی را انجام می دهیم.

بنابراین در اینجا چیزی است که باید انجام دهید:

اطمینان حاصل کنید که سرورهای SQL شما به طور مستقیم از اینترنت قابل دسترسی نیستند. اگر آنها هستند، تقریبا قطعا یک اشتباه است. اگر این یک اشتباه نیست، این ایده بدی است که باید راه دیگری برای دسترسی به آنها از راه دور پیدا کنید. با استفاده از یک VPN یا SSH به عنوان اولین نقطه ورود در نظر بگیرید و 2FA را برای تمام کاربران خود اصرار کنید.

گذرواژههای مناسب را انتخاب کنید. حمله شده در اینجا نمی تواند توسط یک کاربر نا معتبر کشیده شود، بنابراین شانس با کلمات عبور ضعیف را نگیرید. حتی اگر سرور SQL شما تنها در داخل قابل دسترسی باشد، شما نمی خواهید فقط هر کسی بتواند به راحتی وارد شود، به خصوص به عنوان یک کاربر منحصر به فرد.

تنظیمات کنترل دسترسی MySQL خود را بررسی کنید. فقط کاربران با حقوق INSERT به پایگاه داده اصلی مایکروسافت می توانند UDF جدید را بارگذاری کنند، بنابراین هر کسی که می تواند این حمله را انجام دهد، در حال حاضر توانایی کافی برای انجام بسیاری از چیزهای بد دیگر را دارد. (این امر می تواند گزینه ای برای غیرفعال کردن UDF ها باشد، اگر هرگز از آنها استفاده نکنید، اما ما نمی توانیم راهی برای انجام این کار پیدا کنیم. تنها ترفندی که ما می توانیم برای جلوگیری از بارگذاری UDF پیدا کنیم این است که نسخه خود را به صورت ایستا مرتبط کنیم از mysqld از کد منبع.)

آزمایش نفوذ را در نظر بگیرید. شما احتمالا تمام استراتژی های دفاعی ذکر شده در بالا ذکر شده را می دانید و سعی می کنید آنها را دنبال کنید، اما ارزش این را دارد که آنها را به درستی اعمال کرده اید. اشتباهات اتفاق می افتد، و اگر شما به دنبال آنها نیستید، شخص دیگری قطعا خواهد شد.

ایمن باش - با خم کردن چاه ها، و سپس بررسی کنید که بتتن به درستی نصب شده است.

کامپیوترهای Baltimore به مدت دو هفته توسط هکرها هک شد

حملات ransomware به این معنی است که شهروندان بالتیمور نمیتوانند صورتحساب آب خود یا بلیط پارکینگ را پرداخت کنند.

سیزده بیک کوین بین شهر بالتیمور ایستاده و بسیاری از خدمات و پردازش شهروندان خود را به تکیه بر پس از هکرها هزاران کامپیوتر دولتی را در آغاز ماه گرفتار شده است. اعتراض به مدت دو هفته ادامه دارد و هیچ دلیلی در ظاهر وجود ندارد.

در اینجا چیزی است که اتفاق می افتد: در روز 7 ماه مه، هکرها به صورت دیجیتالی حدود 10،000 رایانه دولتی بالتیمور را دستگیر کردند و تقاضای تقریبا 100000 دلار در بیت کوین ها برای آزاد کردن آنها را ایجاد کردند. این حمله به اصطلاح "ransomware" است، در حالی که هکرها برنامه های مخرب را به منظور جلوگیری از دسترسی به سیستم کامپیوتری و یا دریافت آن تا زمانی که صاحب آن سیستم می پردازد، بازپرداخت می کند.

بالتیمور، مانند چندین شهر دیگر که طی دو سال گذشته با چنین حملاتی برخورد کرده اند، حاضر به پرداخت آن نیست. در نتیجه، به مدت دو هفته کارکنان شهر از حساب های ایمیل خود قفل شده اند و شهروندان قادر به دسترسی به خدمات ضروری، از جمله وب سایت هایی که پرداخت صورت حساب آب، مالیات بر املاک و بلیط های پارکینگ را پرداخت می کنند. این حمله متعارف در بلاروس در حدود 15 ماه است: سال گذشته، یک حمله جداگانه برای حدود یک روز، سیستم 911 شهر را متوقف کرد. بالتیمور برای رسیدگی به هر دو حملات تحت نظارت قرار گرفته است.

حملات ransomware در بالتیمور و سایر دولت های محلی در سراسر ایالات متحده نشان می دهد که به عنوان حملات ransomware گسترش یافته و به عنوان اهداف رایج از قبیل بیمارستان ها و مدارس امنیت سیستم های آنلاین خود را تضمین می کنند، هنوز هم هدف های زیادی برای آسیب پذیری این نوع هک وجود دارد. این همچنین نمونه ای از عجیب و غریب است که قربانیان ransomware با آن روبه رو می شوند: پرداخت و دسترسی شما به عقب، و یا امتناع - به طور بالقوه در طولانی مدت هزینه های بسیار بیشتری.

آنچه در بالتیمور اتفاق می افتد، به طور خلاصه توضیح داده شده است

هکرها در 7 مه از شهر برادران بالتیمور، با استفاده از یک رادیو اینترنتی به نام RobbinHood، که به گفته NPR، امکان دسترسی به یک سرور را بدون کلید دیجیتالی که تنها هکرها دارند، غیرممکن است.

توجه داشته باشید که استفاده از هکرهای بالتیمور، که توسط بالتیمور خورشید به دست آمده، درخواست پرداخت سه بیت کوین در هر سیستم را برای باز شدن قفل کرد، که به 13 بیت کوین برای باز کردن تمام سیستم های دستگیر شده تقسیم می شود. این یادداشت تهدید کرد که اگر آن را در چهار روز پرداخت نمی شد، جبران خسارت را افزایش می دهد و گفت که این اطلاعات برای همیشه از بین خواهد رفت، اگر آن را در 10 روز پرداخت نکنید. هر دو مهلت در حال حاضر گذشت

"ما بیشتر صحبت نمی کنیم، همه ما می دانیم که پول است! عجله کن! تک تاک، تک توک، تک توک! "یادداشت گفت.

دولت شهر از پرداخت پول خودداری می کند، به این معنی است که سیستم های پست الکترونیکی دولت و سیستم عامل های پرداختی این حملات از بین می روند. این حمله همچنین به بازار املاک بالتیمور آسیب رسانده است، زیرا مقامات قادر به دسترسی به سیستم های مورد نیاز برای تکمیل فروش املاک نیستند. (این شهر گفت که معاملات روز دوشنبه ادامه یافت.)

جک یانگ، شهردار بالتیمور، که رسما در کمتر از یک ماه در دفترش بود، در بیانیه ای در روز جمعه گفت که مقامات شهر "به خوبی در روند بازسازی" قرار دارند و "کارشناسان ارشد امنیت سایبری که در محل کار 24-7 کار می کنند مشغول به کار هستند با ما ". FBI نیز در تحقیق شرکت داشته است.

یانگ گفت: "بعضی از تلاش های ترمیم همچنین نیاز به بازسازی سیستم های خاصی دارند تا اطمینان حاصل شود که وقتی ما کارهای تجاری را بازسازی می کنیم، ما این کار را به گونه ای ایمن انجام می دهیم." او زمان زمانی را برای زمانی که تمام سیستم ها دوباره به اینترنت بازگردانده نمی شوند.

رئیس شورای شهر بالتیمور همچنین قصد دارد یک کمیته ویژه برای بررسی این حمله جدید ایجاد کند و سعی کند اطمینان حاصل کند که این اتفاق دوباره رخ نخواهد داد.

حمله مشابه با استفاده از RobbinHood کامپیوترهای دولتی در گرین ویل، کارولینای شمالی در ماه آوریل را تجربه کرد. یک سخنگوی گرین ویل به وال استریت ژورنال گفته است که این شهر هرگز پرداخت نمی شود و در حالی که سیستم هایش به طور کامل بازسازی نشده است، "تمام نیازهای تکنولوژی ما در حال حاضر برآورده شده است."

بیش از 20 شهرداری در ایالات متحده به تنهایی در سال جاری توسط سایبری دستگیر شده اند. و چنین حملاتی می تواند گران باشد، شاید به ویژه اگر اهداف می گویند که آنها پرداخت نمی کنند. در سال 2018، هکرها خواستار آن بودند که آتلانتا به عنوان بخشی از حمله ransomware حدود 50،000 دلار در بیت کوین پرداخت کند. این شهر رد کرد و بر اساس گزارشی که توسط قانوننامه آتلانتا ژورنال و کانال 2 Action News منتشر شد، این حمله به هزینه 17 میلیون دلار برای رفع آن پایان یافت.

حملات Ransomware جدید نیستند - اما ما هنوز درک نحوه برخورد با آنها را داریم

در سال 2017، یک رایانامه به نام WannaCry دهها هزار رایانه را با استفاده از سیستم عامل های Microsoft Windows در بیش از 100 کشور هدف قرار داد. مقامات ایالات متحده و بریتانیا در نهایت سرانجام کره شمالی را برای حمله سایبری مورد انتقاد قرار دادند. همچنین در سال 2017، شرکت های بزرگ در انگلستان، فرانسه، روسیه، اسرائیل و اوکراین با حملات ransomware مواجه شدند. بیمارستان های ایالات متحده نیز هدف قرار گرفتند.

از آن به بعد، تعدادی از بخش ها و سازمان ها اقدامات امنیتی خود را برای محافظت در برابر رنج نرم افزار بهبود داده اند. اما آخرین حمله بالتیمور نمونه ای از یک بازی بی نظیر یک مول است: یک منطقه اقدامات خود را بهبود می بخشد و هکرها فقط به دنبال آن هستند

دو سال بعد از WannaCry همچنان میلیون ها کامپیوتر در معرض حمله سایبری هستند

یک رانستور قدرتمند شروع به پخش در سراسر جهان کرد.

WannaCry گسترش مانند آتش سوزی، رمزگذاری صدها هزار کامپیوتر در بیش از 150 کشور در عرض چند ساعت. این اولین بار بود که ransomware، یک نرم افزار مخرب که فایل های کاربر را رمزگذاری می کند و خواستار استفاده از رمزنگاری مجدد رمز عبور می باشد، برای باز کردن قفل آنها، در سراسر جهان به نظر می رسد که به نظر می رسد یک حمله سایبری هماهنگ است.

بیمارستان ها در سراسر U.K. اعلام "یک حادثه عمده" پس از آن که توسط نرم افزارهای مخرب آفلاین به ضرب گلوله کشته شد. سیستم های دولتی، شبکه های راه آهن و شرکت های خصوصی نیز تحت تاثیر قرار گرفتند.

محققان امنیتی به سرعت متوجه شدند که نرم افزارهای مخرب مانند کرم رایانه ای، در سراسر رایانه و در سراسر شبکه، با استفاده از پروتکل SMB ویندوز، پخش می شوند. به زودی به یک دسته از ابزارهای دسته بندی شده دسته بندی شده طبقه بندی شده توسط آژانس امنیت ملی که هفته های پیش از آن به سرقت رفته بودند و به صورت آنلاین برای هر کسی که مورد استفاده قرار می گرفت، کاهش یافت.

کوین بومونت، یک محقق امنیتی مبتنی بر U.K. در آن زمان، "واقعی است." "گیتس می خواهد به سبک طرفداران بزرگ ضربه بزند."

یک گروه هکر ناشناخته - که بعدا معتقد بود که برای کره شمالی کار می کند - این دسته از آگهی های NSA را منتشر کرده و حمله های خود را آغاز کرده اند - احتمالا نمی دانند که تا چه حد گسترش می یابد. هکرها از Backdoor NSA، DoublePulsar استفاده کردند تا یک درپوش پایدار که برای تحویل Ransomware WannaCry استفاده شد، ایجاد کند. با استفاده از EternalBlue سوء استفاده، ransomware به هر کامپیوتر دیگری که مجبور نیست در شبکه پخش شود.

یک سیستم آسیب پذیر و یک سیستم تحت پوشش اینترنت، به اندازه کافی برای ویران کردن کافی بود.

مایکروسافت، در حال حاضر از سرقت ابزارهای هک برای سیستم عامل های خود استفاده می کند، تکه هایی را منتشر کرده است. اما مصرف کنندگان و شرکت ها به طور آهسته حرکت کردند تا سیستم خود را پاکسازی کنند.

در عرض چند ساعت، ransomware میلیاردها دلار به خسارات وارد شده است. کیف پول Bitcoin در ارتباط با ransomware توسط قربانیان برای پر کردن فایل های خود را پر می کنند - اغلب از بیهوده.

مارکوس هاچینز، یک مهندس معکوس و محقق امنیتی، در تعطیلات زمانی که حمله شد، در تعطیلات بود. او توییتی کرد: "من یک هفته هجوم آوردم تا کاری را انجام دهم." خلاص شدن از تعطیلات خود را کوتاه می کند، او به کامپیوترش می آید با استفاده از داده ها از سیستم ردیابی بدافزار، وی متوجه شد که چه چیزی کلید WannaCry را کشته است - یک نام دامنه که در کد قرار دارد، که در هنگام ثبت نام، بلافاصله تعداد عفونت ها را به توقف متوقف کرد. هاچینز، که در ماه گذشته مجرم شناخته شده به جنایات کامپیوتری نامشخص اشاره کرد، یک قهرمان برای متوقف کردن گسترش این حمله مورد ستایش قرار گرفت. بسیاری از آنها برای تسلیم شدن، اگر نه عفو کامل ریاست جمهوری برای تلاش های او، خواستار احترام بوده اند.

اعتماد به سرویس های اطلاعاتی یک شبه سقوط کرد. قانونگذاران خواستار دانستن این موضوع بود که NSA قصد دارد تا از طوفان آسیب ایجاد کند. همچنین بحث داغی در مورد اینکه چگونه آسیب پذیری های دولتی را به عنوان سلاح های تهاجمی برای انجام نظارت یا جاسوسی استفاده می کنند، آغاز کرد - یا زمانی که باید آنها را به فروشندگان شناسایی کنند تا آنها را ثابت کند.

یک ماه بعد، جهان خود را برای یک دور دوم از حملات سایبری در آنچه که احساس می شود به زودی تبدیل به عادی است.

NotPetya، یک ransomware دیگری که محققان نیز یک کشتن کلید را کشف کردند، از همان سوء استفاده از DoublePulsar و EternalBlue استفاده می کردند تا غول های حمل و نقل، سوپرمارکت ها و آژانس های تبلیغاتی را که از حملات رد می شدند، از بین ببرد.

دو سال بعد، تهدید ناشی از ابزارهای ناخواسته NSA همچنان نگران کننده است.

با توجه به آخرین اطلاعات، تا حدود 1.7 میلیون نقطه پایانی متصل به اینترنت هنوز به سوء استفاده آسیب پذیرند. داده هایی که توسط Shodan، یک موتور جستجو برای پایگاه داده ها و دستگاه های موجود در معرض نمایش داده می شود، رقم را با علامت "میلیون" نشان می دهد - با بیشتر دستگاه های آسیب پذیر در ایالات متحده اما فقط برای دستگاه های مستقلی متصل به اینترنت حساب می شود و نه دستگاه های بالقوه میلیون ها دستگاه دیگر به آن سرورهای آلوده. تعداد دستگاه های آسیب پذیر احتمالا به طور قابل توجهی بالاتر است.

WannaCry همچنان گسترش می یابد و گاهی اوقات اهداف آن را آلوده می کند. Beaumont در یک صدای جیر جیر گفت: ransomware عمدتا به معنای عصب، عدم توانایی کشیدن و شروع به رمزگذاری داده ها است، به دلایلی که رمز و راز باقی مانده است.

اما ابزارهای NSA در معرض خطر، که باقی می مانند و قادر به آلوده کردن رایانه های آسیب پذیر هستند، همچنان برای تحویل انواع نرم افزارهای مخرب استفاده می شوند و قربانیان جدید همچنان ظاهر می شوند.

فقط چند هفته پیش از آنکه شهر آتلانتا توسط ransomware مورد حمله قرار گرفت، جیک ویلیامز، متخصص امنیت سایبری، متوجه شد که شبکه های آن توسط ابزار NSA آلوده شده اند. به تازگی، ابزار NSA برای بازدیدهای از شبکه های گسترده ای از پردازش قدرت، به شبکه های مخرب با کدهای معدن کریپتوکورنال رجوع کرده است. دیگران از این سوء استفاده ها به صورت مخفیانه هزاران کامپیوتر را در اختیار دارند تا پهنای باند خود را برای راه اندازی حملات انکار سرویس های توزیع شده با استفاده از سیستم های دیگر با مقدار زیادی ترافیک اینترنتی استفاده کنند.

WannaCry باعث وحشت شد. سیستم ها خاموش شدند، داده ها از بین رفته و پول باید صرف شود. این یک پیغام بیداری بود که جامعه برای بهبود امنیت سایبری ضروری بود.