2019: سونامی باج افزار - Panda Security Mediacenter ⋆

دسامبر13

2019: سونامی باج افزار – Panda Security Mediacenter

این سال دیگر رقابتی برای حملات باج افزار بود. موج حملات دیده شده در ایالات متحده در آغاز سال و پس از آن حمله به ادارات دولتی در سرتاسر اروپا و آخرین تخلفاتی که در اسپانیا مشاهده شد ، همه باعث شده است که باج افزارها جایگاه خود را در لیست مهمترین اقدامات سایبری در سال 2019 حفظ کنند. و آمار به خودی خود می گوید: حملات باج افزار از سال گذشته از سال گذشته در سال 2019 به میزان 500٪ افزایش یافته است.

همه سازمان ها در معرض نقض امنیت قرار دارند: از چند ملیتی بزرگ گرفته تا شرکت های کوچک و متوسط و اداره های دولتی. در حقیقت ، طبق مجمع جهانی اقتصاد ، درصد سازمان هایی که در سال 2018 حمله را تجربه کرده اند ، به 61 درصد رسیده اند. رقم 2019 احتمالاً حتی بیشتر خواهد بود. این امر تا حد زیادی به حملات باج افزارهایی منجر شده است که در طول سال در موجهای مختلف دیده ایم.

با این وجود ، بیش از امواج که بطور اختصاصی برای استقرار انبوه طراحی شده اند ، به نظر می رسد اینها یک سری حملات هستند. همزمان و در استفاده از باج افزار همزمان شده اند. ما در واقع طیف وسیعی از [TT] های را که برای نقض امنیت قربانیان این حملات استفاده شده اند ، شناسایی کرده ایم.

اولین علائم

اولیه ترین شاخص های سری حملات باج افزار که ما هستیم. در حال حاضر تجربه در ژانویه آمد. شهر دل ریو تگزاس ، از حمله باج افزار که سیستم های آنها را تحت تأثیر قرار داده بود ، گزارش داد و آنها را مجبور به انجام کارهای اداری خود به صورت دستی ، با قلم و کاغذ کرد. خدمات اطلاعات مدیریتی ری ریو موظف بودند کامپیوترهای هالوئر را جدا کنند تا کارمندان از دسترسی به سیستم و شیوع عفونت در امان بمانند.

مطابق رسانه های آمریکایی این حمله با استفاده از یک استراتژی غیرمعمول انجام شد. این باج شامل شماره تلفن برای برقراری ارتباط با مهاجمان و دریافت دستورالعمل نحوه پرداخت هزینه برای بازیابی پرونده های آنها بود.

در ماه مارس ، شرکت نروژی Norsk Hydro در ماه مارس ، یک حمله ویرانگر را متحمل شد ، هنگامی که گروهی از باج افزار به نام LockerGoga وارد آن شد. شبکه و مجبور به بستن 22،000 نقطه انتهایی در 40 کشور جهان. این یک حمله بسیار هدفمند بود. طبق گزارش پروکسی ، مهاجمان هفته ها قبل از راه اندازی باج افزار ، به جستجوی نقاط ضعف و آسیب پذیری در سیستم های IT شرکت پرداختند. این شرکت تاکنون بیش از 45 میلیون پوند (50 میلیون یورو) برای بهبودی از حمله هزینه کرده است.

LockerGoga به احتمال زیاد از طریق حمله فیشینگ ، که به طور بالقوه در اسناد Word با ماکروهای مخرب مخفی شده بود ، تحویل داده شد. برخی از ویژگی های باج افزار می تواند نشان دهد که رمزگذاری پرونده ها و مطالبه باج ، هدف اصلی LockerGoga نیست. در بعضی از موارد ، بدافزار رمزعبور سرپرست را تغییر داده و قربانی را با استفاده از logoff.exe خاموش می کند ، پرداخت این باج را سخت تر می کند.

تمرکز به سمت مدیریت عمومی ایالات متحده حرکت می کند

در حالی که روند حمله به ادارات دولتی آغاز شد. با این حادثه در دل ریو ، چند ماه نگذشت که سازمان های مشابه شروع به سقوط کردند. در ماه مارس ، سالن اجتماعات شهر جکسون ، جورجیا جنجال هایی را آغاز کرد که پس از حمله باج افزار مبلغ 400000 دلار خواسته شده توسط مجرمان سایبری پرداخت کرد – احتمالاً یک نوع Ryuk . این عفونت تقریباً تمام سیستمهای محلی را به استثناء وب سایت و سیستم اضطراری آن تعطیل کرد.

همچنین در آغاز ماه مارس ، فدراسیون پلیس انگلیس و ولز قربانی یك حمله باج افزار شد كه موفق به رمزگذاری پایگاه داده های آن شد و سرورها در این حمله همچنین توانست پشتیبان گیری هایی را که سازمان ایجاد کرده بود ، از بین ببرد.

در ماه آوریل ، آگوستا ، ماین ، آنچه را که به عنوان یک حمله باج افزار بسیار هدفمند توصیف شده بود ، متحمل شد. مهاجمان خواستار باج حداقل 100000 دلار بودند. خوشبختانه ، سالن اجتماعات شهر موفق به متوقف كردن باج افزار شد و سیستم های آن تقریباً به حالت عادی بازگشت روز بعد.

در ماه مه ، در دو ماه در شهر دو شهر مورد حمله قرار گرفتند. اولین مورد در Cartersville در تاریخ 6 ، در یک حمله ، و سپس در 7th ، لین توسط قطعه باج افزار به نام "Herpes 1.2" مورد اصابت قرار گرفت ، که سیستم پرداخت پارکینگ آنلاین شهر را آلوده کرده است.

7 مه نیز وقتی دولت شهری بالتیمور اعلام کرد که دولت شهر به دلیل حمله باج افزار اکثر سرورهای خود را بسته است. مهاجمان برای آزادسازی کل شهر خواستار باج 3 بیت کوین یا 13 بیت کوین بودند. سیستم های شهر تقریباً برای یک ماه از کار افتاده بودند و تا به امروز ، این شهر 4.6 میلیون دلار برای بازیابی اطلاعات در تمام رایانه های خود خرج کرده است.

سویه باج افزار استفاده شده به نام RobbinHood نامیده می شود. طبق گفته های Bleeping Computer ، این باج افزار از طریق اسپم به رایانه ها نمی رسد. در عوض ، از پروتکل های دسک تاپ از راه دور (RDP) یا سایر Trojans که می توانند به مهاجم دسترسی پیدا کنند ، استفاده می کند. در چند ماه گذشته شواهدی وجود دارد مبنی بر اینکه مهاجمی که سیستم های بالتیمور را رمزگذاری کرده اند به کار خود افتخار می کنند: نوع جدیدی از RobbinHood شامل یک باج نامه است که نشان می دهد قربانی گوگل "بالتیمور" برای درک وزن خود است.

متأسفانه این فقط آغاز "تابستان نارضایتی" در ایالات متحده بود. در یک هفته به دو شهر فلوریدا حمله شد که هر دو تصمیم جنجالی برای پرداخت باج 65 بیت کوین (بیش از 600،000 یورو) در ساحل ریورا و 42 بیت کوین (420،000 یورو) در دریاچه سیتی گرفتند.

در ماه ژوئیه در حوادث ریچموند هایتز و وزارت امنیت عمومی جورجیا حوادثی باج افزار رخ داده است.

یکی از شدیدترین حوادث صبح روز 16 اوت رخ داد: در مجموع 22 دولت محلی در تگزاس قربانی یک حمله هماهنگ شده باج افزار شدند. اگرچه مقامات Texan فاش نکردند که از این باج افزار در این حمله استفاده شده است ، اما آنها اعلام کردند که این 22 حمله از همان منبع صورت گرفته است. مهاجمان خواستار باج دادن 2.5 میلیون دلار شدند.

این موج به سایر نقاط جهان می رسد

در پاییز ، ما شاهد حمله باج افزارها در اروپا و سایر نقاط جهان بودیم. در اواسط ماه سپتامبر ، چندین سالن شهر و مؤسسات در اسپانیا تحت تأثیر حملات باج افزار قرار گرفتند. در کشور باسک ، حداقل چهار گزارش از جرائم ادعایی در مورد امنیت سایبری وجود داشته است ، در حالی که دولت شهرداری اعلام کرد که به یک قطعه باج افزار به نام ریوک حمله شده است. این بدافزارهای رمزنگاری شده پرونده های ذخیره شده در بیش از 50 سرور را رمزگذاری کردند و کارمندان دولت شهرداری را مجبور کردند کار خود را با دست انجام دهند.

در آلمان ، تولید کننده اصلی ابزارهای اتوماسیون بیش از یک هفته توسط یک حادثه مربوط به باج افزار BitPaymer فلج شد. ، در حالی که سیستم های شهر ژوهانسبورگ در آفریقای جنوبی توسط مهاجمین خواسته شد 4 بیت کوین را ربودند.

از میان آخرین قربانیان باج افزار چندین شرکت اسپانیایی است که سیستم های آنها در ابتدای ماه نوامبر رمزگذاری شده است. پاندا به یادداشت باج دریافت شده توسط مراجعین خارجی آسیب دیده دسترسی داشته است ، و ما دیدیم که این حوادث ویژگی های بسیاری را با باج افزار BitPaymer به اشتراک می گذارند.

PandaLabs توضیح می دهد: "طبق تحقیقات اولیه ما ، که هنوز تأیید نشده است ، یکی از قویترین فرضیه ها این است که قربانیان می توانند شرکت هایی باشند که تحت تأثیر برخی از فعالیت های اسپم در هفته های گذشته قرار گرفته اند ، که هدف آنها آلوده کردن ماشین ها به بدافزار Emotet است. در این صورت ، این باج افزار تا به امروز ، هنگامی که C&C آن را به BitPaymer ارسال کرده است ، برای آغاز حمله ، وضعیت کمتری را حفظ کرده است. "

جدیدترین قربانی شرکت نفت مکزیک Pemex است. در 11 نوامبر ، چندین رایانه ربوده شد و کارکنان را از انجام کار خود متوقف کرد. بخش فناوری اطلاعات به كاركنان توصیه كرد كه رایانه های خود را جدا كنند.

علل اصلی

اگرچه این سلسله حملات به موقع و زمان با هم همزمان بوده اند ، اما در عمل همه آنها از تکنیك های متنوعی استفاده كرده اند تا به سیستم قربانیان خود بروند. . علل اصلی این حملات باج افزارها موارد زیر است:

در حادثه نروسک هیدرو ، مهاجمان ماه ها در سیستم شرکت شرکت کردند و در جستجوی آسیب پذیری هایی که می تواند در رابطه با اسپم برای راه اندازی باج افزار باشد ، جستجو کردند. و این یک مورد منزوی نیست. در حقیقت ، علت یک در هر سه نقض امنیتی یک آسیب پذیری غیر قابل مشاهده است. یکی از بدنام ترین حملات باج افزار در تاریخ – WannaCry – از آسیب پذیری برای ورود به حدود 300000 رایانه در سراسر جهان استفاده کرد.
92٪ از بدافزارهای جهان از طریق فیشینگ وارد می شوند و باج افزار نیز از این قاعده مستثنی نیست. می توان آن را در پیوست های ماکرو یا پیوندهایی به URL های مخرب پنهان کرد. یکی از تئوری های مربوط به چگونگی اجرای باج افزار در شرکت های اسپانیایی در ماه نوامبر ، این است که از طریق ایمیل فیشینگ ارسال شده توسط بات نت Emotet وارد شد.
حمله به زنجیره تأمین است. برای انجام حمله گسترده در تگزاس ، از روشی به نام هوپینگ جزیره استفاده شد. پرش به جزیره شامل مجرمان سایبری می شود که به شبکه های شرکت های کوچکتر – به عنوان مثال بازاریابی یا منابع انسانی ، که برای هدف نهایی ارائه می شوند ، نفوذ می کنند و از این دسترسی برای دستیابی به سازمان های بزرگتر استفاده می کنند. در مورد تگزاس ، جابجایی جزایر امکان پذیر بود زیرا بسیاری از شهرداری های تحت تأثیر همان نرم افزار و ارائه دهنده سیستم IT دارند.

آیا می خواهید تنها راه حل را امتحان کنید که هیچگاه تحت تأثیر چنین حمله ای قرار نگرفته است؟ [19659031]

صفر اعتماد به مبارزه با باج افزار

واقعیت باقی مانده است که باج افزار یک تهدید همیشگی است ، و اگر از محافظت مناسب در آن استفاده نکنید ، بسیار سخت است. مکان را انجام دهید و مراحل مناسب را دنبال نکنید. مهمترین چیز اینست که از رویکرد اعتماد به نفس صفر پیروی کنید: به چیزی اعتماد نکنید تا زمانی که اطمینان داشته باشید که بدخواه نیست و همه چیز را زیر سؤال ببرید.

Panda Adaptive Defence مبتنی بر امضاها یا تکنیک های سنتی نیست ، اما با اطمینان صفر از کلیه فعالیتها در همه دستگاه ها. برای انجام این کار ، آن را به صورت طبقاتی کنترل می کند و کلیه فعالیت ها را در هر رایانه و سرور به منظور طبقه بندی هر فرآیند در تمام دستگاه های سازمان ، و مشخص کردن پروفایل های رفتاری آنها ، کنترل می کند. اگر این فعالیت مشکوک را تشخیص دهد ، حتی اگر مشخصات ظاهراً مشکوک نداشته باشد ، آن را مسدود می کند و آن را مورد تجزیه و تحلیل قرار می دهد تا بتواند تصمیمی در مورد آنچه باید بگیرد. علاوه بر این ، این فناوری ضد استثمار است که قادر به شناسایی اسکریپت های مخرب و ماکرو است.

99.98٪ از تصمیمات به لطف فرآیندهای هوش مصنوعی مبتنی بر یادگیری ماشین و یادگیری عمیق به طور خودکار گرفته می شوند. 0.02 درصد باقی مانده از تصمیمات به تیمی از شکارچیان تهدید متخصص که ماهیت فرآیند را تعیین می کنند ، همزمان و غنی سازی و تکمیل الگوریتم های اتوماتیک به طور هم زمان ، واگذار و تقسیم می شوند.

علاوه بر این ، می توانید سطح حمله را با مدیریت پاندا پچ. این ماژول تکه ها و به روزرسانی ها را در سیستم عامل ها و صدها برنامه جستجو و اعمال می کند تا آسیب پذیری ها خطر نفوذ را ایجاد نکنند.

ما می توانیم به شما بگوییم که این حملات چگونه کار می کنند ، چه آسیب پذیری هایی را که از آنها سوءاستفاده می کنند … ما هم می توانیم به شما بگوییم. که آنها به هیچ وجه آخرین نیستند. تنها چیزی که ما نمی دانیم چه زمانی حمله گسترده بعدی آغاز می شود.

آماده سازی و تقویت سیستم های خود با Panda Adaptive Defense. با تشکر از مدل Zero Trust ، قادر است 100٪ فرآیندها را قبل از اجرای روی رایانه های خود ثبت و تأیید کنید. این سطوح دید و کنترل باعث تقویت توانایی های پیشگیری ، تشخیص و واکنش می شوند. به همین دلیل هیچ مشتری Panda Security تحت تأثیر هیچ یک از این موج های باج افزار قرار نگرفته است.