مطالب پربازدید

1404/07/10 - 08:30- جنگ سایبری

«حملات تخریبی» به کشور۳ برابر شد/ افشای نام «اهداف اصلی» حملات هکرها

بر اساس داده‌های گزارش سالانه گراف، هوش مصنوعی مولد (GenAI) چشم‌انداز تهدیدات ایران را در سال ۱۴۰۳ دگرگون کرد؛ جایی که حملات با LLMJacking، باج‌افزار و فریب‌های پیشرفته، نهادهای دولتی و آموزشی را در کانون هدف قرار دادند.

1404/06/26 - 14:35- جنگ سایبری

تمرکز اسرائیل بر «پیجر» و جنگ الکترونیک در نبردهای آینده با ایران

مقامات رژیم صهیونیستی، طراحی عملیات‌های غافلگیر کننده ای همچون عملیات پیجرها برای جنگ آینده با ایران را ضروری می دانند.

1404/06/24 - 09:51- جنگ سایبری

نقش سرداران شهید « باقری و سلامی» در برتری قدرت سایبری ایران

رویکرد راهبردی شهیدان باقری و سلامی، نیروهای مسلح ایران را با تدوین دکترین سایبری نوآورانه به یکی از قدرت‌های سایبری تبدیل کرد.

جواد محمدی

انتشار شده در تاریخ 1401/07/04 - 14:22

سرورهای ضعیف مایکروسافت؛ هدف جدید باج افزارها

هکرها با انتشار باج افزار فارگو سرورهای ضعیف مایکروسافت را هدف حملات خود قرار می‌دهند.

به گزارش کارگروه امنیت سایبربان؛ گزارش اخیر تیم تحلیل امنیتی مرکز پاسخگویی اضطراری امنیتی آزمایشگاه ای اچ ان (ASEC)، خبر از یک فعالیت مجرمانه سایبری جدید دارد که باج افزار فارگو (FARGO) را پخش کرده تا سرورهای آسیب‌پذیر مایکروسافت اس کیو ال (MS-SQL) را هدف قرار می‌دهد.

مرکز پاسخگویی اضطراری امنیتی آزمایشگاه ای اچ ان می‌گوید:

در کنار گلوب ایمپوستر (GlobeImposter)، فارگو نیز یکی از باج افزارهای برجسته‌ای است که سرورهای آسیب‌پذیر مایکروسافت اس کیو ال را هدف قرار می‌دهد. در گذشته به آن مالوکس (Mallox) نیز می‌گفتند زیرا از پسوند.mallox استفاده می‌کرده است.

سرورهای مایکروسافت اس کیو ال به سیستم مدیریت پایگاه داده رابطه‌ای مایکروسافت برای ذخیره و بازیابی داده‌ها برای سایر برنامه‌های کاربردی نرم‌افزاری و خدمات اینترنتی اشاره دارد. با این اوصاف، وارد شدن خسارت به آن می‌تواند به معنای مشکلات بزرگی برای کسب‌وکارها باشد.

به گفته مرکز پاسخگویی اضطراری امنیتی آزمایشگاه ای اچ ان، آلودگی زمانی ایجاد می‌شود که مایکروسافت اس کیو ال یک فایل دات نت را از طریق cmd.exe و powershell.exe دانلود می‌کند. سپس این بدافزار را دانلود و بارگیری می‌کند و درنتیجه یک فایل BAT تولید و اجرا می‌شود که منجر به تمام شدن فرآیندها و خدمات خاصی خواهد شد.

مرکز پاسخگویی اضطراری امنیتی آزمایشگاه ای اچ ان توضیح می‌دهد:

کار این باج افزار، با آلوده کردن AppLaunch.exe، یک برنامه معمولی ویندوز، آغاز می‌شود. این باج افزار سعی می‌کند یک کلید رجیستری را در یک مسیر مشخص حذف کند و دستور غیرفعال سازی بازیابی را اجرا کند و فرآیندهای خاصی را ببندد.

محققان می‌گویند این باج افزار فایل‌ها را رمزگذاری می‌کند، اما برخی از آن‌ها، ازجمله مسیرها و برنامه‌های افزودنی را حذف می‌کند تا سیستم تا حدی قابل‌دسترس باشد. ویژگی مشخصه این باج افزار این است که فایل‌های با پسوند فایل مرتبط با گلوب ایمپوستر را آلوده نمی‌کند و این لیست حذف نه‌تنها شامل همان نوع پسوندهای.FARGO.FARGO2 و.FARGO3 می‌شود؛ بلکه شامل.FARGO4 نیز هست که تصور می‌شود یک نسخه آتی از باج افزار باشد.

پس‌ازاین، مجرمان سایبری با استفاده از پسوند.Fargo3 نام فایل‌های رمزگذاری شده را تغییر می‌دهند؛ درحالی‌که یادداشت باج تولیدشده توسط بدافزار با استفاده از نام فایل "RECOVERY FILES.txt" ظاهر می‌شود. در این پیام، قربانیان با تهدیدهایی مبنی بر حذف دائمی فایل سیستم خود در صورت استفاده از نرم‌افزاری دیگر برای رفع آن، مواجه خواهند شد. علاوه بر این، مجرمان سایبری می‌گویند درصورتی‌که قربانیان از پرداخت باج امتناع کنند، داده‌ها را در معرض دید عموم قرار خواهند داد.

جدا از آسیب‌پذیری‌های اصلاح‌نشده، مرکز پاسخگویی اضطراری امنیتی آزمایشگاه ای اچ ان توضیح می‌دهد که سرورهای پایگاه داده، اغلب به دلیل رمز عبور ضعیف حساب‌ها، هدف خوبی برای حملات هستند. با این کار، تیم تجزیه‌وتحلیل گفت که می‌توان با پرداختن به مشکلات و اعمال احتیاط بیشتر در محافظت از رمزهای عبور از آن جلوگیری کرد. این مرکز همچنین پیشنهاد می‌کند که مدیران سرورهای مایکروسافت باید از رمزهای عبوری استفاده کنند که حدس زدن آن‌ها دشوار باشد و به‌طور دوره‌ای آن‌ها را تغییر دهند تا از سرور پایگاه داده در برابر حملات محافظت کنند و برای جلوگیری از آن‌ها، به آخرین وصله‌های امنیتی موجود، به‌روزرسانی کنند.