RANSOMWARE مقصر اصلی است اما بیتکوین مورد سرزنش قرار می گیرد!

هنگامی که هکرها ماه گذشته با حمله حمله به رایانه های شخصی بالتیمور فلج کردند، تمرکز اصلی نه تنها سرقت بود، بلکه بیکینی 76000 دلار نیز پرداخت.

NSA برمی خیزد

براساس گزارش اخیر نیویورک تایمز، حملات ransomware در بالتیمور، مریلند در ماه مه توسط استفاده از آژانس امنیت ملی مأموریت شده به سرقت رفته (NSA) سایبری در اختیار داشت.

در مقاله ای که قبلا منتشر شده بود، تایمز گزارش داده بود که Eberliblue، Cyberweapon، پس از کشف توسط هر یک از چهار پیمانکار استخدام شده برای تحقیق در مورد حمله و تعمیر شبکه شهرستان، در معرض نور قرار گرفت.

این سلاح احتمالا به سرقت رفته و در سال 2017 توسط گروهی به نام Brother's Shadow توزیع شده است، اما NSA حاضر به توضیح در مورد حادثه یا وجود سایبری نرفت.

EternalBlue در حملات کره شمالی و روسیه در سال 2017 برجسته شد و این ابزار موجب آسیب میلیاردها دلار به دولت ها و شرکت های مختلف شده است.

هلند روپرسبرگر، کنگره مریلند، بیانیه ای را برای اطلاع رسانی رسانه ها منتشر کرد که او توسط رهبران ارشد NSA خلاصه شده است و بر اساس روپپرسبرگر، NSA گفت که "در این زمان هیچ شواهدی وجود ندارد که EternalBlue در حمله ransomware نقش داشته باشد موثر بر شهر بالتیمور. "

پرداخت BTC لغو شد

محققان با صحبت با تایمز خواستار آن شدند که ناشناس باقی بمانند و هنوز هم تلاش می کنند تا تاریخچه دقیق حمله ransomware را بخوانند. محبوب ترین توضیح این است که هکرها یک سرور باز را در شبکه بالتیمور شکست داد و سپس یک درپوش را نصب کرد.

EternalBlue ممکن است مورد استفاده قرار گیرد برای سفر در سراسر کامپیوتر بالتیمور و یک ابزار نرم افزار جداگانه ای به نام "وب پوسته" می تواند در کنار آن عمل کرده است.

هکرها خواستار پرداخت 76000 دلار در بیت کوین به شهرداری شدند که 7623.36 دلار + 0.37٪ بود اما مجری برنارد سی جوان حاضر به پرداخت آن نشد. در حالیکه این ممکن است یک حرکت هوشمندانه باشد، اکنون شهر تخمین زده است که هزینه حمله ransomware بالغ بر 18 میلیون دلار به دلیل درآمد از دست رفته و هزینه های بازیابی است.

به گفته محققان، یک روش محبوب هک "عبور هش" به گسترش ransomware کمک کرد و اخیرا EternalBlue به عنوان یک ابزار برای حمله به دولت های محلی و شهری در ایالات متحده عمل کرده است. این نظریه می گوید این مکان ها تمایل به استفاده از تجهیزات قدیمی دارند، که به دنبال پیش بینی های نرم افزاری نیست.

در سال 2017 مایکروسافت یک آپدیت ویندوز منتشر کرد که کامپیوترهای بالتیمور را در برابر EternalBlue محافظت می کرد اما به نظر می رسد که به روز رسانی نصب نشده است.

آن را بر روی بیتکوین بگذارید

جالب توجه است، پوشش رسانه ای از حمله ransomware عمدتا بر Bitcoin بود که پرداختی که مهاجمان می خواستند و روایت اغلب استفاده شده از Bitcoin و cryptocurrency که عمدتا توسط گروه های تروریستی، فروشندگان مواد مخدر و بازارهای تاریک آنلاین استفاده می شد، دوباره ظاهر شد.

به اندازه کافی عجیب، Bitcoin اغلب تبدیل به یک نقطه کانونی و scapegoat، گرفتن سرزنش برای ransomware و حملات دیگر.

یک گزارش در ماه آوریل به این نتیجه رسید که BTC 98 درصد از تمام هزینه های پرداختی را که از رمزهای پولی به دست آمده است، با سکه های متمرکز بر حریم خصوصی مانند Monero حساب می کند که سهم نسبتا کمی دارد.

با این حال، در این مورد، قطعا محرک واقعی زیرساخت فناوری پیری آمریکا و عدم آموزش مناسب مدارک امنیتی برای کارکنان دولت محلی است.

حملات Ransomware به بالتیمور حدود 18 میلیون دلار هزینه در پی دارد!

 بودجه دفتر بالتیمور برآورد کرده است که حمله ی ransomware که شبکه رایانه ی شهر را خراب می کند حداقل 18.2 میلیون دلار هزینه خواهد داشت.

شهر بالتیمور خورشید گزارش می دهد که مدیر بودجه، باب سمینما، هزینه پیش بینی شده در یک جلسه چهارشنبه را پیش بینی کرد. این مجموع شامل تقریبا 5 میلیون دلار است که دفاتر شهری شهرداری قبلا هزینه کرده اند.

شبکه ی شهر با حمله ی سایبری در تاریخ 7 می 7 دست و پنجه نرم می کند. مقامات گفته اند که هکرها با استفاده از نوع ransomware RobbinHood خواستار بالتیمور معادل 76،000 دلار در بیت کوین پرداختند که رهبران شهر می گویند این اتفاق نمی افتد.

ایمیل روز چهارشنبه برای برخی کارگران شهر بازسازی شد. اما مقامات محلی حاضر به ارائه هر جدول زمانی برای زمانی که شبکه عمومی به عقب بر گردیم.

یک ماه پس از آنکه یکی دیگر از حملات ransomware به سیستم حمل و نقل بالتیمور 911 ختم شد، ظرف یک ماه از ماه می گذرد.

هکرها در تلاش هستند که به سرورهای MySQL server از طریق ransomwareها حمله کنند!

حداقل یک خدمه هک چینی در حال حاضر اینترنت را برای سرورهای ویندوزی که پایگاه داده های MySQL را اجرا می کنند، اسکن می کنند تا بتوانند این سیستم ها را با Ransomware GandCrab آلوده کنند.

این حملات تا حدودی منحصر به فرد هستند، به عنوان شرکت های امنیت سایبری تا کنون هیچ عامل تهدیدی را دیده اند که به سرورهای MySQL در حال اجرا در سیستم های ویندوز حمله کرده اند تا آنها را با ransomware آلوده کند.

اندرو براندت، محقق اصلی در Sophos، و کسی که این حملات جدید را در دروازه های هان پوت مشاهده کرد، آنها را به عنوان "کشف سرکش" در یک ایمیل به ZDNet توصیف کرد.

محقق امروز یک پست وبلاگ در وبسایت Sophos منتشر کرده است که جزئیات این فعالیت اسکن جدید و بارگیری آن را منتشر کرده است.

تیراندازان هدف نادرست، اما شبیه سازی، MBSQL DBS

براند گفت که هکرها پایگاههای داده MySQL قابل دسترسی را اسکن می کنند که دستورات SQL را قبول می کنند، بررسی می کند که آیا سرور پایه در ویندوز اجرا می شود و سپس دستورات خرابکارانه SQL را برای نصب یک پرونده در سرورهای معرض، که بعدا آنها را اجرا می کنند، آلوده می کند میزبان با Ransomware GandCrab.

در حالی که اکثر مدیران سیستم معموال از سرورهای MySQL خود با رمزهای عبور محافظت می کنند، هدف از این اسکن ها، بهره برداری فرصت طلبانه از پایگاه های اطلاعاتی ناسازگار و بدون رمز عبور است.

با توجه به برانت، هکرها ظاهرا کاملا شگفت انگیز بوده اند، در حالی که کاملا مشخص نیست که آیا آنها موفق بودند.

محقق Sophos این حملات را به یک سرور از راه دور پیگیری کرد که یک پرونده سرور باز داشت که تحت نام HFS نامیده می شد و آمار مربوط به بارگیری های مزاحم مخرب را در بر داشت.

"سرور به نظر می رسد که بیش از 500 بار دانلود از نمونه ای که من دیدم دانلود Honeypot MySQL (3306-1.exe). با این حال، نمونه های 3306-2.exe، 3306-3.exe و 3306-4.exe برندت گفت، همانند آن فایل هستند.

"در مجموع، تقریبا 800 بار دانلود شده است در پنج روز از زمانی که آنها در این سرور قرار گرفته اند، و همچنین بیش از 2300 بار از نمونه دیگر GandCrab (حدود یک هفته گذشته) در دایرکتوری باز شده است.

"بنابراین در حالی که این حملات به خصوص گسترده یا گسترده نیست، آن را به مدیران سرور MySQL خطرناک می سازد که از طریق فایروال برای پورت 3306 در سرور پایگاه داده خود به سوراخ دیافراگم دسترسی دارند"، او گفت: .

همانطور که برانت اشاره می کند، این نوع حملات بسیار نادر است. گروه های هکرها معمولا برای سرورهای پایگاه داده برای نفوذ به شرکت ها و سرقت اطلاعات و یا مالکیت معنوی و یا ترویج نرم افزارهای رمزنگاری معدن جستجو می کنند [1، 2].

مواردی که یک گروه هکر در حال استفاده از ransomware هستند نادر است.

۱۰۰ها مدرسه آمریکا همچنان در خطر حمله سایبری هستند

اگر شما تعجب کنید که چرا ransomware همچنان مشکلی برای دولت و دولت های محلی و سایر نهادهای دولتی است، تنها کاری که باید انجام دهید برای دریافت پاسخ کمی کم است. داده های اسکن امنیتی قابل دسترسی به دست آمده نشان می دهد که بسیاری از سازمان های عمومی موفق به انجام بیش از یک تیرانداز بیش از آسیب پذیری سیستم های مدت زمان طولانی است که، اگر به طور موفقیت آمیز مورد سوء استفاده قرار گیرد، می تواند عملیات خود را متوقف کند.

در حالی که روش که RobbinHood ransomware دو هفته پیش شبکه شبکه شهر بالتیمور را آلوده کرده است، هنوز ناشناخته است، در داخل دولت شهر، تلاش های ناکافی دفتر فناوری اطلاعات برای دست زدن به محاصره شهر نرم افزار، سرور های پیری، و زیرساخت شبکه گسترده. بالتیمور حتی این شهر نیست که در ماه گذشته توسط ransomware مورد ضرب و شتم قرار گرفته است - لین، ماساچوست و Cartersville، جورجیا، هر دو سیستم های پرداخت الکترونیک را از طریق ransomware در این ماه گرفته شده است. گرینویل، کارولینای شمالی، توسط همان RobbinHood ransomware که روی بالتیمور در ماه آوریل تأثیر گذارده بود، زده شد.

اما شهرهای تنها اهداف بسیار آسیب پذیر نیست که توسط مهاجمان احتمالی پیدا می شود. صدها هزار سیستم ویندوز متصل به اینترنت در ایالات متحده وجود دارد که هنوز به نظر می رسد به سوء استفاده از پروتکل اشتراک گذاری پرونده مایکروسافت ویندوز سرور پیام بلوک نسخه 1 (SMB v. 1) آسیب پذیر است، با وجود هشدارهای عمومی عمومی برای سیستم های پچ پس از شیوع در سراسر جهان از بدافزار رمزنگاری WannaCry دو سال پیش. و براساس اطلاعات موتور جستجوی Shodan و سایر منابع عمومی، صدها نفر از آنها - اگر نه هزاران - سرورهایی هستند که در سیستم مدرسه دولتی ایالات متحده استفاده می شوند.

در حالی که انجام تحقیقات به عنوان دنباله روی پوشش ما از حملات ransomware در حال اجرا در بالتیمور شهر، Ars کشف کرد که سیستم مدارس دولتی کانادایی بالتیمور، دارای هشت سرور قابل دسترسی است که هنوز در تنظیمات اجرا می شوند که نشان می دهد آنها به EternalBlue آسیب پذیر هستند، گروه معادله بهره برداری در آوریل 2017 در معرض کارفرمایان سایه قرار گرفت و پس از آن یک ماه بعد به عنوان بخشی از بدافزار WannaCry مورد استفاده قرار گرفت. به گفته محققان امنیتی، این سوء استفاده در حال حاضر به عنوان بخشی از کیت های مخرب متعدد بسته بندی شده است.

"من با تیم IT ما را بررسی خواهیم کرد"

آرس در هفته گذشته سخنگوی عمومی مدارس بالتیمور (BCPS) گفت: "من با تیم فناوری اطلاعات خود بررسی خواهیم کرد." پاسخ اضافی از BCPS وجود نداشت، اما تیم فناوری اطلاعات مدرسه برای فیلتر کردن درخواستهای SMB در دیوار آتش منطقه، براساس اطلاعات فنی جمعآوری شده توسط Ars - حداقل حداقل لازم برای جلوگیری از حمله کلون WannaCry، پیکربندی شده است. با این حال مشخص نیست که آیا بالتیمورکا پچ را برای سوءاستفاده در شبکه خود اعمال کرده است یا خیر. بدین معنی که حمله مخرب بر اساس EternalBlue هنوز ممکن است در صورت حمله یک مهاجم در شبکه منطقه، پایه گذاری شود.

و متاسفانه، نمرات سیستم های مدرسه ای دیگر و سایر موسسات دولتی و محلی وجود دارد که سرورهای در معرض آن قرار دارند. و سیستم های شمارش شده تنها کسانی هستند که به طور مستقیم از طریق اینترنت دسترسی دارند، بنابراین آنها فقط یک درصد از آسیب پذیری بالقوه را به ransomware و یا سایر نرم افزارهای مخرب نشان می دهند. برخی از ولسوالی های دیگر که دارای بیشترین تعداد سیستم های آسیب پذیر هستند شامل:

مدرسه متحد مدبکه در منطقۀ لس آنجلس، کالیفرنیا

Fresno Unified School District در Fresno، کالیفرنیا

تعاونی پردازش اطلاعات مدارس واشنگتن در ایالت واشنگتن

کوهپرتینو اتحادیه مدرسه در سن خوزه، کالیفرنیا

علاوه بر این، واقعیت این است که این سیستم ها دو سال تمام پس از WannaCry باقی می ماند و پس از آنکه مایکروسافت تکه های اورژانسی را برای سیستم عامل های دیگر پشتیبانی نمی کند، این سوال را مطرح می کند که چطور امنیت های امنیتی دیگر این سازمان ها پچ شده اند.

در داده های Shodan برخی از تغییرات وجود دارد. برای مثال، Shodan 230 مورد آسیب پذیر سرور ویندوز را با یک ناحیه عمومی مدرسه در لیتلتون، کلرادو مرتبط کرده است. اما این یک اشتباه از بلوک های آدرس مربوط به سیستم بود - آنها در واقع ماشین های مجازی متعلق به یک ارائهدهنده میزبانی وب آلمان بودند که همان بلوک آدرس IP را به اشتراک گذاشته بودند. این خبر به سختی خوب است - فقط نشان می دهد که کمبود پچ در سراسر جهان فراگیر است.