7000 سرور Exchange که برای اولین بار توسط هکرهای چینی مورد خطر قرار گرفتند ، با باج افزار روبرو شدند


7000 سرور Exchange که برای اولین بار توسط هکرهای چینی مورد خطر قرار گرفتند ، با باج افزار روبرو شدند

گتی ایماژ

سازمان هایی که از Microsoft Exchange استفاده می کنند اکنون یک سردرد امنیتی جدید دارند: یک باج افزار بی سابقه که روی هزاران سرور که قبلاً توسط هکرهای بودجه ای در چین آلوده شده اند ، نصب می شود.

مایکروسافت گزارش ها خانواده جدید استقرار باج افزار اواخر روز پنجشنبه ، گفت که پس از مصالحه اولیه بر روی سرورها ، مستقر شده است. نام مایکروسافت برای خانواده جدید Ransom: Win32 / DoejoCrypt.A است. نام رایج DearCry است.

به هافنیوم ارسال شده است

شرکت امنیتی Kryptos Logic گفت روز جمعه بعد از ظهر ، نزدیک به 7000 سرور Exchange که به نرم افزارهای باج افزار آلوده شده بودند ، آسیب دیده است. مارکوس هاچینز ، محقق امنیت Kryptos Logic به آرس گفت که باج افزار DearCry است.

Kryptos Logic گفت: “ما به تازگی 6970 پوسته وب در معرض کشف را کشف کرده ایم که توسط بازیگرانی که از آسیب پذیری Exchange استفاده می کنند به صورت عمومی نمایش داده می شوند و قرار داده می شوند.” “این پوسته ها برای استقرار باج افزار استفاده می شود.” پوسته های وب درهای پشتی هستند که به مهاجمان اجازه می دهد از یک رابط مبتنی بر مرورگر برای اجرای دستورات و اجرای کد مخرب در سرورهای آلوده استفاده کنند.

هر کسی که URL این بسته بندی های وب عمومی را بداند می تواند کنترل کامل سرور در معرض خطر را بدست آورد. هکرهای مسئول عفونت ها از این پوسته ها برای استقرار باج افزار استفاده می کنند. پوسته های شبکه در ابتدا توسط هافنیوم نصب شد ، نامی که مایکروسافت به یک بازیگر تهدید با بودجه دولتی که در خارج از چین فعالیت می کند ، داد.

هاچینز گفت: “اساساً ، ما در حال دیدن مجرمان هستیم که از پوسته های باقی مانده توسط هافنیوم برای یافتن پشتیبانی در شبکه ها استفاده می کنند.”

هافنیوم یکی از حداقل 9 APT است – مختصر برای گروه های تهدید مداوم پیشرفته – که از آسیب پذیری های Exchange معروف به ProxyLogon ، که مایکروسافت در تاریخ 2 مارس وصله کرد ، بهره برداری کرد. محققان می گویند ، بیشتر یا همه این APT ها با چین ارتباط دارند. محققان همچنین گفتند که از ماه ژانویه که احتمال شروع حملات وجود دارد ، حداکثر 100000 سرور فعال بوده اند.

استقرار باج افزار ، که به گفته کارشناسان امنیتی اجتناب ناپذیر است ، جنبه اصلی پاسخ مداوم به سرورهای ایمن را که توسط ProxyLogon کار می کنند ، تأکید می کند. نصب ساده اصلاحات کافی نیست. بدون از بین بردن پوسته های باقیمانده در شبکه ، سرورها یا توسط هکرهایی که در ابتدا درب پشتی را نصب کرده اند یا توسط دیگر هکرهایی که در حال بررسی نحوه دسترسی به آنها هستند ، در معرض نفوذ قرار می گیرند.

اطلاعات کمی درباره DearCry در دست است. شرکت امنیتی Sophos گفت که بر اساس یک رمزنگار کلید عمومی است ، کلید عمومی در پرونده ای نصب شده است که باج افزار را نصب می کند. با این کار می توان بدون نیاز به اتصال به سرور فرمان و کنترل ، پرونده ها را رمزگذاری کرد. برای رمزگشایی داده ها ، قربانیان باید یک کلید خصوصی بدست آورند که فقط برای مهاجمان شناخته شده باشد.

از جمله اولین کسانی که DearCry را کشف کرد ، مارک گیلسپی ، یک متخصص امنیت بود که خدماتی را اجرا می کند که به محققان کمک می کند تا سو mal استفاده از بدافزارها را شناسایی کنند. روز پنجشنبه او گزارش ها در روز سه شنبه ، دریافت درخواست از سرورهای Exchange در ایالات متحده ، کانادا و استرالیا برای بدافزارهایی که رشته “DEARCRY” داشتند.

او بعداً شخصی را پیدا کرد که در یک فروم کاربر ارسال کند Bleeping Computer می گوید باج افزار بر روی سرورهایی نصب شده است که برای اولین بار توسط هافنیوم کار می کردند. کامپیوتر خفته خیلی زود این پیش گوئی را تأیید کرد.

جان هولتکوئیست ، نایب رئیس شرکت امنیتی Mandiant ، گفت که پشتیبانی از هکرهایی که وب لفاف نصب می کنند می تواند روشی سریعتر و م toثر برای استقرار بدافزار در سرورهای بسته بندی نشده باشد تا بهره گیری از آسیب پذیری های ProxyLogon. همانطور که قبلاً ذکر شد ، حتی اگر سرورها وصله شوند ، اپراتورهای باج افزار همچنان نمی توانند با از بین رفتن بسته بندی های وب ، ماشین ها را به خطر بیندازند.

Hultquist در نامه ای الکترونیکی نوشت: “ما انتظار داریم در آینده نزدیک از آسیب پذیری ها در مبادلات باج افزار استفاده شود.” “در حالی که ممکن است بسیاری از سازمانهای سو mal عملکرد توسط شرکت کنندگان جاسوسی سایبری مورد سو استفاده قرار گرفته باشند ، اما عملیات مجرمانه باج افزار ممکن است خطر بیشتری ایجاد کند زیرا آنها با ارسال ایمیل های دزدیده شده سازمان ها را مختل کرده و حتی قربانیان را سیاه نمایی می کنند.”




منبع: tarjome-news.ir

Leave a reply

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>