حملات باج افزار به استراتوسفر انجام شد: گزارش

روز چهارشنبه ، Positive Technologies گزارشی منتشر کرد که نشان می داد حملات باج افزارها به “سطوح بسیار بالا” رسیده است.

محققان در زمینه تهدید امنیت سایبری در سه ماهه دوم سال 2021 همچنین به تکامل استراتژی های حمله همراه با افزایش بدافزارهایی که برای هدف قرار دادن سیستم های مبتنی بر یونیکس ایجاد شده اشاره می کنند. نسخه های مختلفی از یونیکس وجود دارد و شباهت های زیادی با هم دارند. محبوب ترین انواع Sun Solaris ، GNU/Linux و Mac OS X هستند.

این گزارش نشان داد که حملات باج افزارها در حال حاضر 69 درصد از کل حملات بدافزار را تشکیل می دهند. این یکی از نگران کننده ترین کشفیات است. این تحقیقات همچنین نشان می دهد که حجم حملات به نهادهای دولتی در سال 2021 از 12 درصد در سه ماهه اول به 20 درصد در فصل دوم افزایش یافته است.

در این سه ماه ، مرکز امنیت متخصصان فناوری های مثبت ، که بر اطلاعات تهدید تمرکز می کند ، ظهور B-JDUN ، یک تروجان دسترسی از راه دور جدید یا RAT را که در حملات به شرکت های انرژی استفاده می شود ، کشف کرد. محققان همچنین Tomiris را پیدا کردند ، یک بدافزار جدید که دارای قابلیت افزایش ثبات است و می تواند اطلاعات رمزگذاری شده در مورد یک ایستگاه کاری را به سروری که توسط مهاجم کنترل می شود ارسال کند.

این تحقیق نشان داد که میزان حملات نسبت به سه ماهه قبل 0.3 درصد افزایش یافته است. این کندی پیش بینی می شد زیرا شرکت ها اقدامات بیشتری برای ایمن سازی محیط شبکه و سیستم های دسترسی از راه دور خود در طول همه گیری جهانی و رشد نیروی کار پراکنده انجام دادند.

با این حال ، محققان هشدار دادند که افزایش حملات باج افزار به ویژه – جهش 45 درصدی تنها در ماه آوریل – باید باعث نگرانی جدی شود. محققان همچنین متوجه الگوی فزاینده ای از بدافزارها شده اند که مخصوص نفوذ به سیستم های یونیکس طراحی شده است.

یانا یوراکووا ، تحلیلگر امنیت اطلاعات در Positive Technologies می گوید: “ما به این ایده عادت کرده ایم که مهاجمان توزیع کننده بدافزار تهدیدی برای سیستم های مبتنی بر ویندوز هستند.” وی افزود: “ما در حال حاضر شاهد روند قوی تری از حملات مخرب به سیستم های یونیکس ، ابزارهای مجازی سازی و هماهنگ کنندگان هستیم. بیشتر و بیشتر شرکت ها ، از جمله شرکت های بزرگ ، اکنون از نرم افزارهای مبتنی بر یونیکس استفاده می کنند ، به همین دلیل مهاجمان توجه خود را به این سیستم ها معطوف کرده اند. ”

تاکتیک ها علیه خرده فروشان

چشم انداز تهدیدهای امنیت سایبری برای صنعت خرده فروشی تغییر کرده است. محققان کاهش تعداد حملات MageCart را مشاهده کرده اند که در آن داده های تراکنش در هنگام خرید در یک فروشگاه آنلاین ربوده می شود. با این حال ، با افزایش میزان حملات باج افزارها مقابله شده است.

این گزارش نشان می دهد که 69 درصد از تمام حملات بدافزاری که سازمان ها را هدف قرار می دهند ، شامل توزیع کنندگان باج افزار بوده است. این نسبت به مدت مشابه در سال 2020 30 درصد جهش داشته است.

حملات باج افزارها به خرده فروشان 95 درصد از کل حملات را با استفاده از بدافزار انجام می دهد. این به احتمال زیاد به این دلیل است که حملات قبلی در این صنعت عمدتاً داده هایی مانند جزئیات پرداخت ، اطلاعات شخصی و اعتبار کاربر را هدف قرار داده است.

در حال حاضر ، مهاجمان به دنبال منافع مالی مستقیم تری از طریق مطالبه باج هستند. حجم حملات مهندسی اجتماعی با هدف خرده فروشی نیز امسال از 36 درصد در سه ماهه اول به 53 درصد در فصل دوم افزایش یافته است.

نتایج دیگر

فن آوری های مثبت ، ارسال مطالب درباره برنامه های شریک باج افزار را توسط انجمن های دارک وب ممنوع کرده است. به گفته محققان ، این نشان می دهد که این “شرکا” ممکن است به زودی نقش متمایزی نداشته باشند. از طرف دیگر ، اپراتورهای باج افزار می توانند وظیفه جمع آوری و نظارت بر تیم های توزیع کننده را بر عهده بگیرند.

هفت مورد از 10 حمله بدافزار در سه ماهه دوم سال جاری شامل توزیع کنندگان باج افزار بود که 30 درصد افزایش نسبت به سهم سه ماهه دوم سال 2020 تنها 39 درصد داشت. متداول ترین اهداف شرکت های دولتی ، پزشکی و صنعتی و موسسات علمی و آموزشی بودند.

ایمیل همچنان اصلی ترین روشی است که مهاجمان برای انتشار بدافزار در حملات به سازمان ها استفاده می کنند (58 درصد). به گفته محققان فناوری های مثبت ، استفاده از وب سایت ها برای توزیع بدافزار در سازمان ها از 2 درصد به 8 درصد افزایش یافته است.

به عنوان مثال ، این روش توسط توزیع کنندگان نرم افزارهای جاسوسی مورد هدف برنامه نویسان کار با Node.js. این بدافزار از اجزای Browserify در رجیستری npm تقلید کرد.

حملات مخرب به افراد

مهاجمان در 60 درصد حملات به افراد از بدافزار استفاده کردند. بیشتر اوقات ، مهاجمان تروجان های بانکی (30 درصد حملات مربوط به سایر بدافزارها) ، RAT ها (29 درصد) و نرم افزارهای جاسوسی (27 درصد) را توزیع می کردند. بر اساس این گزارش ، حملات باج افزار تنها 9 درصد حملات مربوط به سایر بدافزارها را شامل می شود.

به عنوان مثال ، توزیع NitroRansomware یک ابزار متداول حمله علیه افراد است. مهاجمان این بدافزار را تحت عنوان ابزاری برای ایجاد کدهای هدیه رایگان برای Nitro ، افزونه Discord ، منتشر می کنند.

پس از راه اندازی ، این بدافزار داده ها را از مرورگر جمع آوری می کند و سپس فایل های موجود در سیستم قربانی را رمزگذاری می کند. برای به دست آوردن رمزگشایی ، قربانی باید یک کد هدیه بخرد تا Nitro را فعال کرده و در اختیار جنایتکاران قرار دهد.

محققان همچنین تعداد زیادی از حملات به درایوهای شبکه QNAP را مورد توجه قرار دادند. QNAP Network Attached Storage (NAS) که بر روی لینوکس اجرا می شود ، سیستم هایی است که از یک یا چند هارد دیسک تشکیل شده است که به طور مداوم به اینترنت متصل هستند. QNAP به یک “مرکز” یا واحد ذخیره سازی برای فایل ها و رسانه های مهم مانند عکس ها ، فیلم ها و موسیقی تبدیل می شود.

سیستم های مجازی نیز ضربه خوردند

فناوری های مثبت در اوایل سال جاری هشدار داد که چندین مهاجم زیرساخت های مجازی را هدف قرار می دهند. در سه ماهه دوم ، این شرکت گزارش داد که اپراتورهای باج افزار در چنین حملاتی پیوسته اند.

محققان گفتند REvil ، RansomExx (Defray) ، Mespinoza ، GoGoogle ، DarkSide ، Hellokitty و Babuk Locker آماده استفاده در حملات به زیرساخت مجازی مبتنی بر VMware ESXi هستند.

این گزارش می افزاید که این می تواند یک مشکل فزاینده برای کاربران لینوکس در محیط های تجاری باشد. Trend Micro باج افزار DarkRadiation جدید در حال توسعه را مورد تجزیه و تحلیل قرار داد و دریافت که برای حملات به Red Hat ، CentOS و Linux Debian طراحی شده است.

این بدافزار خود یک اسکریپت bash است که می تواند تمام ظروف Docker در حال اجرا را متوقف یا غیرفعال کند. مهاجمان از حسابهای آسیب دیده و پروتکل SSH به عنوان راهی برای توزیع این باج افزار استفاده می کنند.

به گفته دورک شریدر ، معاون تحقیقات امنیت جهانی در New Net Technologies ، که اکنون بخشی از Netwrix است ، انگیزه حمله به سیستم های مجازی سازی تمرکز بر لینوکس به خودی خود نیست.

وی افزود که سرورهای ESXi یک هدف ارزشمند هستند و توسعه دهندگان بدافزار برای افزودن لینوکس به عنوان ریشه بسیاری از سیستم عامل های مجازی سازی به مشاغل خود گام های بلندی برداشته اند.

VMware ESXi یک ابزار نظارت سریع است که به راحتی بر روی سرورها و پارتیشن ها در چندین ماشین مجازی نصب می شود.

“این از عوارض جانبی حمله به هر دستگاه لینوکس استقبال می کند. یک سرور EXSi 7 از نظر تئوری می تواند تا 1024 ماشین مجازی را میزبانی کند. اما برای مهاجم ، ترکیب تعداد VM ها و اهمیت آنها چیزی است که باعث می شود هر سرور ESXi یک هدف خوبی است ، “او به سایت گفت. TechNewsWorld ، حمله و رمزگذاری دستگاهی که 30 یا بیشتر خدمات مهم را برای یک سازمان اجرا می کند ، نتایج باج افزارهای پولی را وعده می دهد.

مقابله به مثل

Vulcan Cyber ​​در 29 ژوئیه تحقیقات خود را در زمینه ابتکارات برای مقابله با خطرات سایبری در بین مشاغل منتشر کرد. ولکان از 200 رهبر امنیت سایبری در مورد سیستم های سلامت الکترونیکی خود نظرسنجی کرد.

نتایج نشان داد که هفت درصد از شرکت ها در یک سال گذشته تحت آسیب پذیری امنیت فناوری اطلاعات قرار گرفته اند. تنها 33 درصد از پاسخ دهندگان گفتند که شرکت آنها مدیریت آسیب پذیری مبتنی بر ریسک را “بسیار مهم” می داند.

به گفته یانیو بار دایان ، مدیرعامل و بنیانگذار Vulcan Cyber ​​، بین نرم افزارهای مدیریت آسیب پذیری سازمانی و توانایی تیم های امنیتی فناوری اطلاعات در کاهش واقعی خطرات سازمان های خود شکاف وسیع و گسترده ای وجود دارد.

“با افزایش آسیب پذیری ها در سطوح دیجیتال ، برای همه ذینفعان امنیت فناوری اطلاعات در یک سازمان به طور فزاینده ای اهمیت ایجاد تغییرات معنادار در تلاش های خود برای eHealth تبدیل می شود. این امر باید شامل اولویت بندی تلاش های امنیت سایبری مبتنی بر ریسک و افزایش همکاری بین تیم های امنیتی و فناوری اطلاعات ، به روز رسانی باشد. ابزارهای مدیریت آسیب پذیری و افزایش تجزیه و تحلیل ریسک های سازمانی ، به ویژه در شرکت هایی که دارای نرم افزار کاربردی پیشرفته ابری هستند. “