شرکت امنیتی Sophos گزارش داد: «مجموعهای از حملات باجافزار در برابر شرکتهای کوچک و متوسط از پروتکل مدیریت راه دورِمیزکار (RDP) برای دسترسی به سامانههای آلوده استفاده میکنند.»
به عنوان بخشی از این حملات، عاملان مخرب از یک آسیبپذیری معمول در بسیاری از شبکههای کسب و کار بهرهبرداری میکنند: «گذرواژههای ضعیف». مهاجمان پس از دسترسی به سامانه از طریق پروتکل مدیریت راه دورِمیزکار و شکستن گذرواژه، به راحتی میتوانند بدافزار خود را در سامانههای شرکت نصب کرده و امیدوار باشند که بتوانند مبلغی به عنوان باج جمعآوری کنند.
شرکت Sophos توضیح میدهد: «کشف درگاههای RDP که در اینترنت افشاء شدهاند، اصلا کار سختی نیست. مجرمان سایبری میتوانند موتورهای جستوجوی اختصاصی مانند موتور کشف آسیبپذیریِ Shodan را برای این کار مورد استفاده قرار دهند و سپس از ابزارهای عمومی یا خصوصی برای دسترسی به سامانههای شناساییشده بهرهبرداری کنند.»
شرکت Sophos گفت: «با تجزیه و تحلیل بخشی از این حملات مشخص شده است که مهاجمان با استفاده از یک ابزار به نام NLBrute سعی میکنند با امتحان کردن گذرواژههای RDP مختلف، به سامانهی هدف دسترسی پیدا کنند. هنگامی که مهاجمان توانستند که گذرواژهی درست را پیدا کنند، به سرعت به شبکه وارد شده و حسابهای مدیریت خود را ایجاد میکنند.»
با انجام اینکار حتی اگر گذرواژهی مدیری که مهاجمان برای اولین بار برای دسترسی به شبکه مورد استفاده قرار دادند، تغییر یابد، آنها میتوانند دوباره به شبکه متصل شوند. پژوهشگران میگویند: «مهاجمان در این حالت، دارای حسابهای پشتیبان هستند که میتوانند بعداً از آنها استفاده کنند.»
در مرحلهی بعد، پس از اینکه مهاجمان برنامههای ضدبدافزار را خاموش کردند و یا تنظیمات این برنامهها را تغییر دادند، یک نرمافزار سامانه کمحجم مانند Process Hacker را بارگیری و نصب میکنند. آنها همچنین تلاش میکنند تا در طول بهرهبرداری از آسیبپذیریهای شناختهشده از جمله آسیبپذیریهای CVE-2017-0213 و CVE-2016-0099 که مدت زیادی طول کشید تا توسط مایکروسافت وصله شوند، استفاده کنند.
مهاجمان همچنین سرویسهای پایگاه داده را خاموش میکنند تا بدافزار آنها بتواند پایگاه دادهها را نیز هدف قرار دهد، و همچنین سرویس پشتیبان زندهی ویندوز به نام Volume Shadow Copy را خاموش کرده و پشتیبانهای موجود را نیز پاک میکنند، تا قربانیان نتوانند بدون پرداخت باج پروندههای آسیبدیده را بازیابی کنند. بعد، آنها باجافزار خود را بارگذاری و اجرا میکنند.
به گفتهی شرکت Sophos، این مهاجمان از قربانیان خود باجی به مبلغ ۱ بیتکوین (هر بیتکوین هماکنون هشت هزار دلار قمیت دارد) درخواست کردهاند. با اینکه شرکتهای زیادی تحت تاثیر این حملات قرار گرفتهاند، کیف پول بیتکوین مهاجمان فقط یک تراکنش را نشان میدهد که با باج درخواستی تطابق دارد. محققان امنیتی میگویند: «یا قربانیان مبلغ درخواست شده را پرداخت نکردهاند و یا توانستهاند روی مبلغ کمتری با مهاجمان به توافق برسند.»
شرکت Sophos میگوید: «قربانیان این نوع حملات تقریباً همیشه شرکتهای کوچک و متوسط هستند؛ در بررسیهای ما بزرگترین کسب وکار دارای ۱۲۰ کارمند بود، اما بیشتر آنها ۳۰ نفر و یا کمتر کارمند داشتند.»
به سازمانها توصیه میشود برای اینکه در برابر این حملات از خود محافظت کنند، RDP را خاموش کرده، و یا اگر نیاز دارند که به صورت منظم از این پروتکل استفاده کنند، راهکارهای حفاظتی خوبی را به کار گیرند. سازمانها همچنین باید توجه داشته باشند که برای برقراری ارتباط با شبکههای خارجی یک شبکهی خصوصی مجازی (VPN) و احراز هویت دو مرحلهای را مورد استفاده قرار دهند، و همچنین هر چه سریعتر وصلههای در دسترس را نصب کنند تا مطمئن شوند که سامانههای آنها محافظتشده باقی میمانند.
پول دوکلین، یکی از پژوهشگران ارشد شرکت Sophos گفت: «احتمالاً شنیدهاید که میگویند، اگر میخواهید کاری درست انجام شود، خودتان آن را انجام دهید. متاسفانه کلاهبرداران سایبری برای انجام اقدامات مخرب خود به این توصیه عمل کردهاند؛ اگر شما به طور نادرستی دسترسی از راه دور به شبکهی خود را راهاندازی کنید، مهاجمان میتوانند به شبکهی شما وارد شده و مانند هر کاربر قانونی دیگری فعالیت کنند؛ به سادگی با اجرای مستقیم باجافزار و بدون نیاز به برنامهی مدیریت یا کارگزار کنترل و فرمان سامانههای شما را آلوده کنند. این بدان معنی است که مجرمان سایبری برای راهاندازی این حملات نیازی به بهکارگیری رایانامهها، مهندسی اجتماعی یا ضمیمههای مخرب ندارند.»
با این حال، استفاده از RDP برای توزیع بدافزار یک شیوهی جدید نیست. در حقیقت، این روش حمله در اوایل سال جاری بسیار محبوب بود، در حدی که تقریباً جای استفاده از رایانامه برای توزیع باجافزار را پر کرده بود.
ماه گذشته، یکی از مشتقات باجافزار BTCware به نام Payday مشاهده شد که از همین روش برای توزیع استفاده میکرد. پژوهشگران امنیتی با بررسی این حملات کشف کردند که متصدیان این بدافزار از حملات جستوجوی فراگیر (brute-force) برای شکستن گذرواژههای RDP و تحت تاثیر قرار دادن سامانههایی که دارای امنیت ضعیفی هستند، استفاده میکنند.
سلام
تجربه ای که من دارم اینه که با اینکه رمز عبور قدرتمندی هم یکی از مشتریان من داشت ، بازم گرفتار باج افزار شد
به شدت از باز کردن این پورت و پروتکل به سمت اینترنت خودداری کنید
محض رضای خدا یه کم سایت رو اپدیت کنید
هفته ها هستش سایت رو نگاهش هم نکردید