[ad_1]

کلمه باج بر مانیتور رایانه ای خطرناک و قرمز حاکم است.

1500 شرکت در سراسر جهان توسط بدافزار بسیار مخربی آلوده شده اند که برای اولین بار سازنده نرم افزار Kaseya را تحت تأثیر قرار داده است. در یکی از بدترین حملات باج تاکنون ، بدافزار به نوبه خود از این دسترسی به مشتریان افتاده Kaseya استفاده کرده است.

این حمله بعد از ظهر جمعه در آستانه تعطیلات آخر هفته سه روزه برای روز استقلال در ایالات متحده رخ داد. هکرهای مرتبط با REvil ، یکی از باندهای باهوش باج افزار ، از یک آسیب پذیری صفر روزه در سرویس کنترل از راه دور Kaseya VSA استفاده کردند ، که به گفته این شرکت توسط 35000 مشتری استفاده می شود. شرکتهای وابسته به REvil سپس از کنترل زیرساختهای Kaseya برای انجام یک به روزرسانی نرم افزاری مخرب برای مشتریان ، عمدتا مشاغل کوچک و متوسط ​​استفاده کردند.

ادامه تشدید

در بیانیه ای که روز دوشنبه صادر شد ، كاسیا گفت كه حدود 50 مشتری او مورد مصالحه قرار گرفته اند. طبق گفته این شرکت ، از آنجا 800 تا 1500 شرکت تحت مدیریت مشتریان Kaseya آلوده هستند. وب سایت REvil شبکه تاریک ادعا می کند که بیش از 1 میلیون هدف در این حمله آلوده شده اند و این گروه 70 میلیون دلار برای رمزگشایی جهانی می خواهد.

سایت REvil برای حذف تصویری که ظاهراً درایوهای سخت با 500 گیگابایت داده قفل شده را نشان می دهد ، به روز شده است. گروه های بازخرید پس از آغاز مذاکرات باج ، به عنوان نشانه حسن نیت ، غالباً اطلاعات را از سایت های خود حذف می کنند. در اینجا شکل قبلی نشان داده شده است:

منطقه سایبر

کوین بومونت ، کارشناس امنیت و پژوهشگر مستقل نوشت .

این حمله جمعی تأثیرات ناگهانی در سراسر جهان داشت. سوپرمارکت سوئدی سوپرمارکت کوپ در روز سه شنبه پس از بستن حدود نیمی از 800 فروشگاه خود در تلاش برای بهبودی بود زیرا فروشگاه ها و صندوق های خدمات خودکار متوقف شدند. مدارس و مهدهای کودک در نیوزیلند نیز تحت تأثیر قرار گرفتند ، و همچنین برخی از دفاتر مدیریت دولتی در رومانی. ناظر امنیت سایبری آلمان BSI روز سه شنبه گفت که از سه ارائه دهنده خدمات فناوری اطلاعات در آلمان مطلع شده است که تحت تأثیر آن قرار گرفته اند. نقشه زیر نشان می دهد که شرکت امنیتی Kaspersky از کجا عفونت می بیند.

کسپرسکی

REvil حتی در محافل بدنام گستاخانه باج افزار نیز به عنوان یک گروه بی رحم و پیشرفته شهرت پیدا کرده است. مهمترین قربانی وی غول بسته بندی گوشت JBS بود که در ژوئن بسیاری از فعالیتهای بین المللی خود را متوقف کرد زیرا باج افزارها مانع فرایندهای خودکار شدند. در پایان ، JBS 11 میلیون دلار به شرکت های وابسته به REVIL پرداخت کرد.

قربانیان قبلی REvil شامل شرکت الکترونیکی چند ملیتی تایوان Acer در ماه مارس و همچنین تلاش در ماه آوریل برای سیاه نمایی اپل پس از حمله به یکی از شرکای تجاری آن است. REvil همچنین گروهی است که Grubman Shire Meiselas & Sacks ، شرکت حقوقی مشهور که نماینده لیدی گاگا ، مدونا ، U2 و دیگر هنرمندان برجسته است ، را هک کرد. هنگامی که REvil در ازای انتشار نشدن داده ها 21 میلیون دلار درخواست كرد ، شركت حقوقی 365000 دلار پیشنهاد داد. REvil با افزایش ادعای خود به 42 میلیون دلار پاسخ داد و بعداً بایگانی 2.4 گیگابایتی حاوی برخی از اسناد حقوقی لیدی گاگا را منتشر کرد.

از دیگر قربانیان REvil می توان به Kenneth Copeland ، SoftwareOne ، Quest و Travelex اشاره کرد.

دقت جراحی

حمله این آخر هفته تقریباً با دقت عمل جراحی انجام شد. طبق Cybereason ، شرکتهای وابسته به REvil ابتدا به محیطهای هدف دسترسی پیدا کردند و سپس از روز صفر در Kaseya Agent Monitor برای دستیابی به کنترل اداری بر روی شبکه هدف استفاده کردند. پس از نوشتن محموله بارگذاری شده 64 رمزگذاری شده در پرونده ای به نام agent.crt ، قطره چکان آن را اجرا کرد.

جریان حمله این است:

منطقه سایبر

قطره چکان باج افزار Agent.exe با گواهی به ویندوز امضا شده است ، که از نام ثبت کننده “PB03 TRANSPORT LTD” استفاده می کند. با امضای دیجیتالی بدافزار خود ، مهاجمان می توانند بسیاری از هشدارهای امنیتی را که در غیر این صورت هنگام نصب آن ظاهر می شوند ، سرکوب کنند. Cybereason گفت به نظر می رسد این گواهی منحصراً توسط بدافزار REvil که در زمان حمله مستقر شده بود ، استفاده شده است.

برای افزودن مخفی کاری ، مهاجمان از تکنیکی به نام DLL Side-Loading استفاده کردند که یک فایل DLL مخرب جعلی را در فهرست Windows WinSxS قرار می دهد تا سیستم عامل جعل جعل را به جای پرونده قانونی بارگذاری کند. در این حالت ، Agent.exe نسخه منسوخ شده ای را اجرا می کند که در برابر DLL بارگیری جانبی “msmpeng.exe” که همان پرونده اجرایی Windows Defender است ، آسیب پذیر است.

پس از اجرا ، بدافزار تنظیمات فایروال را تغییر می دهد تا اجازه دهد سیستم های محلی ویندوز شناسایی شوند. سپس شروع به رمزگذاری پرونده ها در سیستم می کند و یادداشت باج زیر را نمایش می دهد:

منطقه سایبر

این رویداد آخرین نمونه از حمله زنجیره تأمین است که در آن هکرها برای تأمین مصالحه با مشتریان پایین دستی که از آن استفاده می کنند ، تأمین کننده یک محصول پرکاربرد را آلوده می کنند. سازش SolarWinds ، کشف شده در دسامبر ، برای انجام یک به روزرسانی نرم افزاری مخرب در 18000 سازمان که از ابزار مدیریت شبکه این شرکت استفاده می کردند ، استفاده شد. حدود 9 آژانس فدرال و 100 سازمان خصوصی به این عفونت های بعدی مبتلا شده اند.

هرکسی که مشکوک باشد شبکه اش در این حمله به هر طریقی تحت تأثیر قرار گرفته است باید سریعاً تحقیق کند. Kaseya ابزاری را منتشر کرده است که مشتریان VSA می توانند از آن برای شناسایی عفونت در شبکه های خود استفاده کنند. FBI و آژانس امنیت سایبری و امنیت زیرساخت ها به طور مشترک توصیه هایی را به مشتریان Kaseya ارائه داده اند ، به خصوص اگر آنها در معرض خطر قرار گرفته باشند.

[ad_2]

منبع: tarjome-news.ir