محققان امنیتی یکسری حملات باجافزاری شناسایی کردهاند که از آسیبپذیری گذرواژههای ضعیف که در بسیاری از شبکههای کسبوکار معمول است، بهرهبرداری میکنند.
منبع : وبگاه اخبار امنیتی فنآوری اطلاعات و ارتباطات
محققان امنیتی یکسری حملات باجافزاری شناسایی کردهاند که از آسیبپذیری گذرواژههای ضعیف که در بسیاری از شبکههای کسبوکار معمول است، بهرهبرداری میکنند.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، شرکت امنیتی Sophos گزارش داد: «مجموعهای از حملات باجافزار در برابر شرکتهای کوچک و متوسط از پروتکل مدیریت راه دور میزکار (RDP) برای دسترسی به سامانههای آلوده استفاده میکنند.»
به عنوان بخشی از این حملات، عاملان مخرب از یک آسیبپذیری معمول در بسیاری از شبکههای کسبوکار بهرهبرداری میکنند: «گذرواژههای ضعیف». مهاجمان پس از دسترسی به سامانه از طریق پروتکل مدیریت راه دور میزکار و شکستن گذرواژه بهراحتی میتوانند بدافزار خود را در سامانههای شرکت نصب کرده و امیدوار باشند که بتوانند مبلغی به عنوان باج جمعآوری کنند.
شرکت Sophos توضیح میدهد: «کشف درگاههای RDP که در اینترنت افشا شدهاند، اصلا کار سختی نیست. مجرمان سایبری میتوانند موتورهای جستوجوی اختصاصی مانند موتور کشف آسیبپذیری Shodan را برای این کار مورد استفاده قرار دهند و سپس از ابزارهای عمومی یا خصوصی برای دسترسی به سامانههای شناساییشده بهرهبرداری کنند.»
شرکت Sophos گفت: «با تجزیهوتحلیل بخشی از این حملات مشخص شدهاست که مهاجمان با استفاده از یک ابزار به نام NLBrute سعی میکنند با امتحان کردن گذرواژههای RDP مختلف به سامانه هدف دسترسی پیدا کنند. هنگامی که مهاجمان توانستند که گذرواژه درست را پیدا کنند، به سرعت به شبکه وارد شده و حسابهای مدیریت خود را ایجاد میکنند.»
با انجام اینکار حتی اگر گذرواژه مدیری که مهاجمان برای نخستینبار برای دسترسی به شبکه مورد استفاده قرار دادند، تغییر یابد، آنها میتوانند دوباره به شبکه متصل شوند. پژوهشگران میگویند: «مهاجمان در این حالت، دارای حسابهای پشتیبان هستند که میتوانند بعداً از آنها استفاده کنند.»
در مرحله بعد، پس از اینکه مهاجمان برنامههای ضدبدافزار را خاموش کردند و یا تنظیمات این برنامهها را تغییر دادند، یک نرمافزار سامانه کمحجم مانند Process Hacker را بارگیری و نصب میکنند. آنها همچنین تلاش میکنند تا در طول بهرهبرداری از آسیبپذیریهای شناختهشده ازجمله آسیبپذیریهای CVE-۲۰۱۷-۰۲۱۳ و CVE-۲۰۱۶-۰۰۹۹ که مدت زیادی طول کشید تا توسط مایکروسافت وصله شوند، استفاده کنند.
مهاجمان همچنین سرویسهای پایگاه داده را خاموش میکنند تا بدافزار آنها بتواند پایگاه دادهها را نیز هدف قرار دهد و همچنین سرویس پشتیبان زندهی ویندوز به نام Volume Shadow Copy را خاموش کرده و پشتیبانهای موجود را نیز پاک میکنند تا قربانیان نتوانند بدون پرداخت باج پروندههای آسیبدیده را بازیابی کنند. بعد آنها باجافزار خود را بارگذاری و اجرا میکنند.
به گفته شرکت Sophos، این مهاجمان از قربانیان خود باجی به مبلغ یک بیتکوین (هر بیتکوین هماکنون هشت هزار دلار قمیت دارد) درخواست کردهاند. با اینکه شرکتهای زیادی تحت تاثیر این حملات قرار گرفتهاند، کیف پول بیتکوین مهاجمان فقط یک تراکنش را نشان میدهد که با باج درخواستی تطابق دارد. محققان امنیتی میگویند: «یا قربانیان مبلغ درخواست شده را پرداخت نکردهاند و یا توانستهاند روی مبلغ کمتری با مهاجمان به توافق برسند.»
شرکت Sophos میگوید: «قربانیان این نوع حملات تقریباً همیشه شرکتهای کوچک و متوسط هستند در بررسیهای ما بزرگترین کسبوکار دارای ۱۲۰ کارمند بود، اما بیشتر آنها ۳۰ نفر و یا کمتر کارمند داشتند.»
به سازمانها توصیه میشود برای اینکه در برابر این حملات از خود محافظت کنند، RDP را خاموش کرده و یا اگر نیاز دارند که بهصورت منظم از این پروتکل استفاده کنند، راهکارهای حفاظتی خوبی را به کار گیرند. سازمانها همچنین باید توجه داشتهباشند که برای برقراری ارتباط با شبکههای خارجی یک شبکه خصوصی مجازی (VPN) و احراز هویت دو مرحلهای را مورد استفاده قرار دهند و همچنین هرچه سریعتر وصلههای در دسترس را نصب کنند تا مطمئن شوند که سامانههای آنها محافظتشده باقی میمانند.
پول دوکلین، یکی از پژوهشگران ارشد شرکت Sophos، گفت: «احتمالاً شنیدهاید که میگویند اگر میخواهید کاری درست انجام شود، خودتان آن را انجام دهید. متاسفانه کلاهبرداران سایبری برای انجام اقدامات مخرب خود به این توصیه عمل کردهاند؛ اگر شما بهطور نادرستی دسترسی از راه دور به شبکه خود را راهاندازی کنید، مهاجمان میتوانند به شبکه شما وارد شده و مانند هر کاربر قانونی دیگری فعالیت کنند بهسادگی با اجرای مستقیم باجافزار و بدون نیاز به برنامه مدیریت یا کارگزار کنترل و فرمان سامانههای شما را آلوده کنند. این بدان معنی است که مجرمان سایبری برای راهاندازی این حملات نیازی به بهکارگیری رایانامهها، مهندسی اجتماعی یا ضمیمههای مخرب ندارند.»
با این حال، استفاده از RDP برای توزیع بدافزار یک شیوه جدید نیست. در حقیقت، این روش حمله در اوایل سال جاری بسیار محبوب بود در حدی که تقریباً جای استفاده از ایمیل برای توزیع باجافزار را پر کردهبود.
ماه گذشته، یکی از مشتقات باجافزار BTCware به نام Payday مشاهده شد که از همین روش برای توزیع استفاده میکرد. پژوهشگران امنیتی با بررسی این حملات کشف کردند که متصدیان این بدافزار از حملات جستوجوی فراگیر (brute-force) برای شکستن گذرواژههای RDP و تحتتاثیر قرار دادن سامانههایی که دارای امنیت ضعیفی هستند، استفاده میکنند.