خبر

  • تک بورد - حداکثر 1500 شرکت در یکی از بدترین حملات باج افزار تاکنون آلوده شده اند

    حداکثر 1500 شرکت در یکی از بدترین حملات باج افزار تاکنون آلوده شده اند
    19 روز و 5 ساعت قبل

    حمله زنجیره تأمین تأثیرات ناگهانی در سراسر جهان دارد.
    در حدود 1500 تجارت در سراسر جهان توسط بدافزار مخرب بسیار ویرانگر آلوده شده اند كه برای اولین بار سازنده نرم افزار Kaseya را مورد حمله قرار داد. در یکی از بدترین حملات باج تاکنون ، بدافزار به نوبه خود از این دسترسی به مشتریان Kaseya استفاده کرده است.

    این حمله بعد از ظهر جمعه در آستانه سه روز آخر هفته تعطیلات روز استقلال در ایالات متحده رخ داد. هکرهای وابسته به REvil ، یکی از مهمترین باندهای باج افزار ، از یک آسیب پذیری صفر روزه در سرویس مدیریت از راه دور Kaseya VSA ، که به گفته این شرکت توسط 35000 مشتری استفاده می شود ، سو استفاده کردند. شرکتهای وابسته به REvil سپس از کنترل خود بر زیرساختهای Kaseya استفاده کردند تا یک به روزرسانی نرم افزار مخرب را به مشتریانی که در درجه اول مشاغل کوچک و متوسط ​​هستند ، انتقال دهند.

    تشدید مداوم

    در بیانیه ای که روز دوشنبه منتشر شد ، Kaseya گفت که تقریبا 50 از مشتریان خود به خطر افتادند. به گفته این شرکت ، از آنجا 800 تا 1500 مشاغل تحت مدیریت مشتریان Kaseya آلوده شده اند. سایت REvil در وب تاریک ادعا کرد که بیش از 1 میلیون هدف در این حمله آلوده شده و این گروه خواستار 70 میلیون دلار برای رمزگشایی جهانی است.

    https://techbord.com حداکثر 1500 شرکت در یکی از بدترین حملات باج افزار تا ممکن است آلوده شده اند Enlarge

    سایت REvil برای حذف تصویری که ادعا می شود درایوهای سخت با 500 گیگابایت داده قفل شده است ، به روز شده است. گروه های Ransomware معمولاً پس از آغاز مذاکرات باج به عنوان نشانه حسن نیت ، اطلاعات را از سایت های خود حذف می کنند. این تصویر قبلاً چگونه به نظر می رسد:

    https://techbord.com بیش از 1500 شرکت در یکی از بدترین حمل و نقل ها به دلیل آلودگی های موجود EnlargeCybereason

    "این نشانه خوبی نیست که یک باند باج افزار داشته باشد کوین بومونت ، کارشناس امنیت و محقق مستقل ، نوشت: یک روز صفر در محصولی که به طور گسترده توسط ارائه دهندگان خدمات مدیریت شده به طور گسترده استفاده می شود و نشان دهنده افزایش مداوم باندهای باج افزار است - که قبلاً در مورد آن نوشتم. " این حمله در سراسر جهان تأثیرات ناگهانی داشت. سوپرمارکت زنجیره ای سوئد کوپ روز سه شنبه پس از اینکه حدود نیمی از 800 فروشگاه خود را تعطیل کرد ، هنوز در تلاش برای بهبودی بود زیرا کارکرد مزرعه های فروش و صندوق های سلف سرویس متوقف شد. مدارس و مهدهای کودک در نیوزیلند نیز تحت تأثیر قرار گرفتند ، و همچنین برخی از دفاتر مدیریت دولتی در رومانی. ناظر امنیت سایبری آلمان ، BSI ، روز سه شنبه گفت که از سه ارائه دهنده خدمات فناوری اطلاعات در آلمان مطلع شده است که تحت تأثیر آن قرار گرفته اند. نقشه زیر نشان می دهد که شرکت امنیتی Kaspersky از کجا عفونت می بیند.

    https://techbord.com حداکثر 1500 شرکت در یکی از بدترین حمل و نقل ها با سیستم عامل تاکنون آلوده شده اند EnlargeKaspersky

    خواندن بیشتر حمله به تامین کننده گوشت از REvil ، سرسخت ترین باند باج افزار REVil به عنوان یک گروه بیرحم و پیچیده ، حتی در محافل معروف باج افزار با گستاخی مشهور شناخته شده است. آخرین قربانی بازی بزرگ آن ، غول بسته بندی گوشت JBS بود ، که در ماه ژوئن پس از آنکه باج افزار نرم افزارهای خودکار را متوقف کرد ، بخش عمده ای از فعالیت های بین المللی خود را متوقف کرد. JBS در نهایت 11 میلیون دلار به شرکت های وابسته به REVIL پرداخت کرد.

    قربانیان قبلی REvil شامل شرکت الکترونیکی چند ملیتی تایوانی Acer در ماه مارس و همچنین تلاش در ماه آوریل برای اخاذی اپل در پی حمله به یکی از شرکای تجاری خود هستند. REvil همچنین گروهی است که Grubman Shire Meiselas & Sacks ، شرکت حقوقی مشهور را به نمایندگی از لیدی گاگا ، مدونا ، U2 و دیگر سرگرمی های برتر پرواز هک کرد. هنگامی که REvil در ازای انتشار نشدن داده ها 21 میلیون دلار طلب كرد ، طبق گزارشات ، شركت حقوقی 365000 دلار پیشنهاد داده است. REvil با افزایش تقاضای خود به 42 میلیون دلار و بعداً انتشار آرشیو 2.4 گیگابایتی حاوی برخی از اسناد حقوقی لیدی گاگا پاسخ داد.

    هنوز دیگر قربانیان REVIL شامل کنت کوپلند ، SoftwareOne ، Quest و Travelex هستند.

    جراحی دقت

    حمله این آخر هفته تقریباً با دقت عمل جراحی انجام شد. طبق Cybereason ، شرکت های وابسته به REvil ابتدا به محیط های هدفمند دسترسی پیدا کردند و سپس از روز صفر در Kaseya Agent Monitor برای دستیابی به کنترل اداری بر روی شبکه هدف استفاده کردند. بعد از نوشتن محموله بارگذاری شده با کد 64-پایه برای پرونده ای به نام agent.crt ، قطره چکان آن را اجرا کرد.

    تبلیغات

    در اینجا جریان حمله وجود دارد:

     https://techbord.com كمترين 1500 شركت در يكي از بدترين حمل و نقل با مجوز تاكنون آلوده شده اند EnlargeCybereason

    قطره چکان ransomware Agent.exe با یک گواهی مورد اعتماد ویندوز امضا شده است که از نام ثبت کننده" PB03 TRANSPORT LTD "استفاده می کند. با امضای دیجیتالی بدافزار خود ، مهاجمان قادر به سرکوب بسیاری از هشدارهای امنیتی هستند که در صورت نصب ، در غیر این صورت ظاهر می شوند. Cybereason گفت که به نظر می رسد این گواهی به طور انحصاری توسط بدافزار REvil استفاده شده است که در این حمله مستقر شده است.

    برای اضافه کردن مخفی کاری ، مهاجمان از تکنیکی به نام DLL Side-Loading استفاده کردند که یک پرونده مخرب جعلی DLL را قرار می دهد. در فهرست WinSxS ویندوز به طوری که سیستم عامل به جای پرونده قانونی ، کلاهبرداری را بارگیری کند. در حالت موجود ، Agent.exe نسخه منسوخ شده ای را که در برابر DLL Side-Loading از "msmpeng.exe" آسیب پذیر است ، ویرایش می کند ، که این پرونده برای Windows Defender قابل اجرا است.

    پس از اجرا ، بدافزار تغییر می کند تنظیمات فایروال برای کشف سیستم های محلی ویندوز. سپس ، شروع به رمزگذاری پرونده ها در سیستم می کند و یادداشت باج زیر را نمایش می دهد:

    https://techbord.com حداقل 1500 شرکت در یکی دیگر از بدترین حمل و نقل با مجوز تاکنون آلوده شده اند EnlargeCybereason

    event آخرین نمونه از حمله زنجیره تأمین است که در آن هکرها با هدف به خطر انداختن مشتریان پایین دستی که از آن استفاده می کنند ، ارائه دهنده یک محصول پرکاربرد را آلوده می کنند. سازش SolarWinds که در ماه دسامبر کشف شد ، برای انتقال به روزرسانی نرم افزار مخرب به 18000 سازمانی که از ابزار مدیریت شبکه این شرکت استفاده می کردند ، استفاده شد. حدود 9 آژانس فدرال و 100 سازمان خصوصی عفونتهای پی در پی را دریافت کردند.

    هرکسی که مشکوک باشد شبکه وی در این حمله به هر طریقی تحت تأثیر قرار گرفته است باید فوراً تحقیق کند. Kaseya ابزاری را منتشر کرده است که مشتریان VSA می توانند از آن برای شناسایی عفونت در شبکه های خود استفاده کنند. FBI و آژانس امنیت سایبری و امنیت زیرساخت به طور مشترک توصیه هایی را برای مشتریان Kaseya صادر کرده اند ، به خصوص اگر آنها در معرض خطر قرار بگیرند.





خبرهای دیگر از اسباب