آسیب‌پذیری‌های محبوب باج‌گیران سایبری

محققان امنیتی فهرست آسیب‌پذیری‌هایی را ارابه داده‌اند که مهاجمان از آنها برای نفوذ به شبکه قربانیان، در یک سال اخیر سوءاستفاده کرده‌اند.

به گزارش فاواپرس به نقل از مرکز مدیریت راهبردی افتا، تهیه این فهرست با فراخوان یکی از محققان تیم واکنش حوادث امنیت رایانه (Computer Security Incident Response Team) شرکت رکوردد فیوچر (.Recorded Future, Inc) در توییتر آغاز شد. با ملحق شدن محققان دیگر به این کارزار، این فهرست به‌سرعت تکمیل شد. این فهرست شامل ضعف‌های امنیتی موجود در بیش از دوازده محصول ساخت شرکت‌های مطرح فناوری اطلاعات است.
به گفته محققان امنیتی، برخی گروه‌های باج‌افزاری از این ضعف‌های امنیتی در حملات گذشته و جاری سوءاستفاده کرده‌اند و احتمال می‌رود از آنها همچنان در آینده نیز بهره‌برداری کنند؛ به‌عبارت‌دیگر، این آسیب‌پذیری‌ها، ضعف‌هایی هستند که به‌صورت فعال از آن‌ها سوءاستفاده می‌شود.
ضعف‌های امنیتی که در نقطه شروع حملات باج‌افزاری از آن‌ها سوءاستفاده می‌شود در شکل زیر و بصورت نموداری لیست شده است:

گروه‌های باج‌افزاری به طور مستمر در حال بهره‌برداری از آسیب‌پذیری‌های جدید هستند. به‌عنوان‌مثال، در هفته‌های اخیر، برخی گردانندگان خدمات “باج‌افزار به‌عنوان سرویس” (Ransomware-as-a-Service – به‌اختصار RaaS)، سوءاستفاده از ضعف امنیتی موجود در MSHTML به شناسه CVE-۲۰۲۱-۴۰۴۴۴ را برای “اجرای کد از راه دور” در نسخه‌های مختلف سیستم‌عامل Windows در دستور کار خود قرار داده‌اند. مهاجم در این روش معمولاً یک سند Office برای کاربر ارسال و کاربر را متقاعد می‌کند که سند مخرب را باز کند. سپس با کنترل مرورگر کاربر از طریق ایجاد یک کنترل مخرب ActiveX، از آسیب‌پذیری موجود در MSHTML سوءاستفاده می‌کند. البته مایکروسافت این آسیب‌پذیری را در اصلاحیه ماه سپتامبر خود برطرف کرده است.
در اوایل شهریور، باج‌افزار Conti نیز سرورهای Exchange را هدف قرارداد و با سوءاستفاده از مجموعه آسیب‌پذیری‌های ProxyShell (با شناسه‌های CVE-۲۰۲۱-۳۴۴۷۳، CVE-۲۰۲۱-۳۴۵۲۳ و CVE-۲۰۲۱-۳۱۲۰۷) به شبکه سازمان‌های مختلفی نفوذ کرد.
در اواسط تابستان، LockFile از آسیب‌پذیری‌های ProxyShell در سرورهای Exchange و آسیب‌پذیری‌‌های PetitPotam در Windows برای تسخیر دامنه‌های Windows و رمزگذاری دستگاه‌ها سوءاستفاده کردند.
Magniber نیز سوءاستفاده از ضعف امنیتی PrintNightmare به شناسه CVE-۲۰۲۱-۳۴۵۲۷ را در کارنامه دارد.
در نمونه‌ای دیگر eCh۰raix نیز با سوءاستفاده از ضعف امنیتی به شناسه CVE-۲۰۲۱-۲۸۷۹۹ تجهیزات NAS ساخت شرکت‌های کیونپ (QNAP) و ساینالوژی (Synology) را هدف قرار داده است.
باج‌افزار HelloKitty نیز در تیرماه، تجهیزات آسیب‌پذیر SonicWall را با سوءاستفاده از ضعف امنیتی به شناسه CVE-۲۰۱۹-۷۴۸۱ مورد هدف قرارداد. در همین ماه مهاجمان REvil با سوءاستفاده از آسیب‌پذیری‌های “روز – صفر” Kaseya (به شناسه‌های CVE-۲۰۲۱-۳۰۱۱۶، CVE-۲۰۲۱-۳۰۱۱۹ و CVE-۲۰۲۱-۳۰۱۲۰)، مشتریان شرکت کاسیا (Kaseya) را که از محصول Kaseya VSA استفاده می‌کردند هدف حملات گسترده‌ای قرار دادند. در جریان این حملات، ۶۰ شرکت ارائه‌دهنده خدمات پشتیبانی (Managed Service Provider – به‌اختصار MSP) و بیش از ۱۵۰۰ کسب‌وکار در سراسر جهان مورد حمله و رمزگذاری قرار گرفتند.
باج‌افزار FiveHands نیز از ضعف امنیتی موجود در تجهیزات SonicWall به شناسه CVE-۲۰۲۱-۲۰۰۱۶ سوءاستفاده کرد، قبل از این که در اواخر سال ۱۳۹۹ وصله شود.
شرکت کیونپ در فروردین‌ماه، در خصوص حملات باج‌افزار AgeLocker از طریق سوءاستفاده از ضعف امنیتی “روز – صفر” در ثابت افزارهای (Firmware) قدیمی تجهیزات NAS ساخت این شرکت هشدار داد. درست همان‌طور که یک گروه بزرگ باج‌افزاری به نام Qlocker، تجهیزات ساخت شرکت کیونپ را هدف حمله قرارداد که ضعف امنیتی به شناسه CVE-۲۰۲۱-۲۸۷۹۹ در آن‌ها وصله نشده بود.
در همان ماه، پس از هشدار مشترک FBI و CISA مبنی بر اینکه مهاجمان در حال اسکن تجهیزات آسیب‌پذیر ساخت شرکت فورتی نت (Fortinet) هستند، باج‌افزار Conti رمزگذاری دستگاه‌های آسیب‌پذیر VPN فورتی نت مربوط به بخش صنعتی را با سوءاستفاده از ضعف امنیتی به شناسه CVE-۲۰۱۸-۱۳۳۷۹ آغاز کرد.
در اسفند ۱۳۹۹، سرورهای Exchange در سراسر جهان مورد حمله Black Kingdom قرار گرفتند و باج‌افزار Dearcry نیز در موج گسترده‌ای از حملات خود سیستم‌های بدون وصله را از طریق آسیب‌پذیری ProxyLogon با شناسه‌های CVE-۲۰۲۱-۲۶۸۵۵، CVE-۲۰۲۱-۲۶۸۵۷ و CVE-۲۰۲۱-۲۶۸۵۸ و CVE-۲۰۲۱-۲۷۰۶۵ هدف قرارداد.
و در آخر اینکه از اواسط آذر سال ۹۹ تا دی‌ماه ۹۹، باج‌افزار Clop با سوءاستفاده از ضعف‌های امنیتی به شناسه CVE-۲۰۲۱-۲۷۱۰۱، CVE-۲۰۲۱-۲۷۱۰۲ ، CVE-۲۰۲۱-۲۷۱۰۳ و CVE-۲۰۲۱-۲۷۱۰۴ به سرورهای Accellion حمله کرد.
محققان همواره در تلاش هستند که حملات باج‌افزاری که سال‌هاست بخش‌های خصوصی و عمومی جهان را درگیر کرده است، بی‌اثر کنند. در این راستا، به تازگی نهادهای امنیتی کشورهای مختلف دستورالعمل‌هایی جهت حفاظت و مقابله با باج‌افزارها در کسب‌وکارها منتشر کرده‌اند. برخی از این دستورالعمل‌ها عبارت‌اند از:

 

مطالب مرتبط
ارسال یک پاسخ

نشانی رایانامه‌ی شما منتشر نخواهد شد.