هیچ محصولی در سبد خرید نیست.

پنج گروه مهم هکر و حملات آنها

یکی از ترسناک ترین خطرات امروز امنیت سایبری شرکت ها بدون شک باج افزار است. باج افزار تبعیض قائل نمی شود و فایل های رمزگذاری شده و غیرقابل خواندن، خطر نشت داده ها و اغلب میلیون ها دلار خسارت را پشت سر می گذارد. علاوه بر این، حملات باج‌افزار در مقیاس بزرگ و پیچیده معمولاً توسط یک فرد انجام نمی‌شود، بلکه توسط گروه‌های هکر بسیار سازمان‌یافته و با تجربه انجام می‌شود.

این به اصطلاح “باند افزارهای باج افزار” اغلب از اعتبارنامه های به خطر افتاده برای راه اندازی حملات باج افزار استفاده می کنند. در این مقاله به بررسی برخی از این گروه ها و باج افزارهایی که استفاده می کنند می پردازیم. همچنین خواهید آموخت که چگونه اعتبارنامه های به خطر افتاده در حملات موفقیت آمیز باج افزار نقش دارند.

لیست گروه های هکر شناخته شده جهانی

۱. دارک ساید

یکی از مخرب ترین حملات باج افزار در تاریخ اخیر در ۹ می ۲۰۲۱ انجام شد و Colonial Pipeline را هدف قرار داد. Colonial یک تامین کننده اصلی سوخت است که بخش بزرگی از سوخت را برای سواحل شرقی ایالات متحده تامین می کند. حمله به Colonial تأثیر واقعی یک حمله باج افزار در مقیاس بزرگ را بر صنایع خدمات حیاتی برجسته می کند.

حمله به استعمار نزدیک به ۶۰۰۰ مایل خط لوله را تعطیل کرد و باعث گلوگاه های گسترده شد. علاوه بر کمبود سوخت و اختلال در خدمات، خط لوله استعماری ۴.۴ میلیون دلار باج پرداخت کرد. پس از این حمله، Colonial در اواخر ماه اوت نقض داده‌ها را گزارش داد که نام‌ها، تاریخ تولد، اطلاعات، شماره‌های تامین اجتماعی و سایر اطلاعات شخصی را فاش کرد.

باند باج افزاری که به Colonial حمله کرد، DarkSide نام دارد. DarkSide یک باج افزار نسبتاً جدید در صحنه است. او از سه ماهه سوم سال ۲۰۲۰ مسئولیت حملات را بر عهده گرفته است. طبق گزارش تهدید eSentire، DarkSide از آن زمان تاکنون بیش از ۵۹ قربانی در ایالات متحده، آمریکای جنوبی، خاورمیانه و بریتانیا در بسیاری از صنایع گرفته است. علاوه بر این، حدود ۳۷ حمله باج افزار در سال ۲۰۲۱ انجام شد.

DarkSide یک باج افزار باج افزار است که به عنوان Ransomware-as-a-Service (RaaS) فعالیت می کند و خدمات خود را به باندهای بدافزار وابسته در وب دارک می فروشد. این مدل به طور فزاینده ای در میان باج افزارهای باج افزار محبوب می شود زیرا منبع دوم درآمد را در کنار پرداخت های باج فراهم می کند. جالب اینجاست که این مدل به بسیاری از گروه‌های مخرب دیگر و حتی افراد فرصت‌هایی می‌دهد تا باج‌افزاری را که احتمالاً بدون سرویس RaaS نداشتند، به کار گیرند.

حمله بزرگ باج افزار به Colonial با رمز عبور قدیمی VPN که در وب تاریک یافت شد آغاز شد. گزارش شده است که DarkSide یا یکی از شرکای آن از یک رمز عبور قدیمی حساب VPN برای نفوذ به شبکه Colonial Pipeline استفاده کرده است. به گفته بلومبرگ، رمز عبور در یک لیست رمز عبور فاش شده کشف شده است.

۲. REvil/Sodinokibi

باج افزار REvil (همچنین به عنوان Sodinokibi شناخته می شود) یک بازیگر نسبتاً جدید در بازار باج افزار به عنوان یک سرویس است که تا کنون در سال ۲۰۲۱ ۱۶۱ سازمان را در ۵۲ حمله قربانی کرده است. با این حال، عوامل تهدید از حدود سال ۲۰۱۹ فعال بوده اند و به مشتریان اجازه می دهند باج افزار REvil خود را به اهداف باج افزار اجاره کنند.

در اوایل سال ۲۰۲۱، REvil کامپیوترهای Acer و Quanta Computer را هدف قرار داد و ۵۰ میلیون دلار به عنوان باج از هر دو شرکت خواست. اپراتورهای REvil می توانند از ابزارهای مختلفی برای به خطر انداختن اولیه یک شبکه استفاده کنند. با این حال، آنها معمولاً از اعتبارنامه های در معرض خطر برای نفوذ به شبکه های داخلی استفاده می کنند. Sophos اخیراً موارد زیر را گزارش کرده است :

کارشناسان Sophos که در حال تحقیق در مورد حمله اخیر REvil بودند، دو ماه بعد یک ارتباط مستقیم بین یک ایمیل فیشینگ ورودی و یک حمله باج چند میلیون دلاری پیدا کردند. ایمیل فیشینگ که اطلاعات کاربری یک کارمند را ضبط کرده است احتمالاً از یک واسطه دسترسی اولیه است که چند هفته بعد از PowerSploit و Bloodhound برای حرکت در شبکه آسیب‌دیده برای یافتن اعتبار مدیریت دامنه با ارزش بالا استفاده کرده است. کارگزار بعداً این اعتبارنامه ها را به دشمنان REvil فروخت تا بتوانند به شبکه هدف نفوذ کنند.

این واسطه‌های دسترسی اولیه در وب تاریک به طور فزاینده‌ای محبوب می‌شوند و به استفاده از اعتبارنامه‌های به خطر افتاده به‌عنوان یک نقطه ورود آسان برای به خطر افتادن باج‌افزار کمک می‌کنند.

۳. Ryuk/Conti

باند باج افزار Ryuk/Conti برای اولین بار در سال ۲۰۱۸ ظهور کرد و موسسات ایالات متحده از جمله شرکت های فناوری، ارائه دهندگان مراقبت های بهداشتی، موسسات آموزشی و شرکت های خدمات مالی را هدف قرار داد. آنها فهرست قابل توجهی از قربانیان از جمله ۳۵۲ قربانی در آمریکای شمالی، بریتانیا و فرانسه جمع آوری کرده اند. تعداد قربانیان جدید از ابتدای سال ۲۰۲۱ حدود ۶۳ نفر است.

قربانیان باج‌افزار Ryuk/Conti همچنین شامل حمله بسیار تبلیغاتی به جوامع کوچک در ایالات متحده است. اینها شامل شهرستان جکسون، جورجیا، با پرداخت ۴۰۰،۰۰۰ دلار، Riviera Beach، فلوریدا، با پرداخت ۵۹۴،۰۰۰ دلار، و LaPorte County، ایندیانا، با پرداخت ۱۳۰،۰۰۰ دلار است.

باج افزار Ryuk به ویژه در حملات به بیمارستان ها و سیستم های مراقبت های بهداشتی ایالات متحده مورد استفاده قرار گرفت. بنابراین، FBI با همکاری امنیت داخلی و بهداشت و خدمات انسانی، دستورالعملی را برای امکانات مراقبت های بهداشتی صادر کرده است.

  • حساب‌های معتبر – مشاهده شد که عوامل Conti با استفاده از پروتکل‌های دسکتاپ از راه دور (RDP ) به شبکه‌های قربانیان دسترسی غیرمجاز داشتند.
  • فیشینگ، Spearphishing (پیوست) – باج‌افزار Conti را می‌توان از طریق بدافزار TrickBot توزیع کرد، که شناخته شده است از ایمیلی حاوی صفحه‌گسترده اکسل حاوی یک ماکرو مخرب برای نصب بدافزار استفاده می‌کند.
  • فیشینگ، Spearphishing (پیوند) – باج‌افزار Conti را می‌توان از طریق TrickBot توزیع کرد، که از طریق پیوندهای مخرب در ایمیل‌های فیشینگ توزیع شده است.

در اواخر سپتامبر ۲۰۲۱، سه آژانس پیشرو امنیت سایبری فدرال هشداری درباره تهدید مداوم باج‌افزار Ryuk/Conti منتشر کردند. هشدار رسمی، Alert (AA21-265A) ، تکنیک های حمله اولیه را مستند می کند که شامل موارد زیر است:

اعتبار به سرقت رفته یا به خطر افتاده یکی از رایج ترین روش هایی است که توسط باج افزارهای Ryuk برای به خطر انداختن محیط های حیاتی ماموریت و شروع عملیات شناسایی و باج افزار استفاده می شود.

۵. کلوپ

باج افزار Clop برای اولین بار در فوریه ۲۰۱۹ ظاهر شد و بسیار موفق بود. اعتقاد بر این است که Clop اولین اپراتور باج افزاری است که از قربانی خود، Software AG در آلمان، ۲۰ میلیون دلار باج می خواهد. آنها قربانیان زیادی داشتند که ناشی از آسیب پذیری Acellion بود . مشخص نیست که آیا آنها در اصل مسئول این حمله بوده اند یا اینکه صرفاً از حمله یکی از شرکای خود سود برده اند. کلوپ قربانیان سرشناس زیادی داشته است، از جمله:

  • رویال شل
  • شرکت امنیتی Qualys
  • Flagstar بانک ایالات متحده
  • دانشگاه کلرادو
  • سازنده هواپیماهای جت کانادایی Bombardier
  • دانشگاه استنفورد

کلوپ به دلیل جستجوی داده های سرقت شده قربانیان و ارسال ایمیل به مخاطبین و درخواست از آنها برای پرداخت باج مشهور است. آنها همچنین به دلیل ارسال اطلاعات دزدیده شده در وب تاریک معروف هستند. از ابتدای سال ۲۰۲۱، حدود ۳۵ شرکت قربانی Clop شده اند. جالب اینجاست که پلیس اوکراین در اوایل سال جاری چندین نفر از اعضای باند کلوپ را دستگیر کرد. تنها چند روز پس از دستگیری، کلوپ مسئولیت دو قربانی دیگر را پذیرفت.

Clop توانایی نصب تروجان های سرقت رمز عبور را برای به خطر انداختن شبکه نشان داده است. علاوه بر این، Clop قبلاً فایل های حساس و رمزهای عبور شبکه را در دارک وب منتشر کرده است. آنها بدون شک با استفاده از اعتبارنامه‌های سرقت شده که توسط حملات Clop عمومی شده‌اند، به تأمین مالی بیشتر نقض‌های امنیتی و حملات باج‌افزار کمک می‌کنند.

امنیت رمز عبور را برای محافظت در برابر باج افزار افزایش دهید

واضح است که باج افزار اغلب از طریق اعتبارنامه های در معرض خطر وارد شبکه می شود. همه باج‌افزارهایی که فهرست کرده‌ایم، تا حدی در حملات قبلی از اعتبارنامه‌های به خطر افتاده استفاده کرده‌اند. این امر نیاز سازمان‌ها به اتخاذ سیاست‌های رمز عبور سخت‌گیرانه و استفاده از محافظت از رمز عبور در معرض خطر را برجسته می‌کند.

Specops Password Policy یک راه حل قابل اعتماد برای خط مشی رمز عبور است که به شما کمک می کند قابلیت های محدود ویژگی های خط مشی رمز عبور را که به صورت بومی در Active Directory ارائه شده است گسترش دهید. با Specops Password Policy، شرکت ها به ویژگی های زیر دسترسی دارند:

انقضای رمز عبور وابسته به طول با اعلان های ایمیل

  • مسدود کردن استفاده از جایگزینی کاراکترها (Leetspeak) و الگوهای صفحه کلید (از جمله الگوهای صفحه کلید اروپایی)
  • بازخورد پویا در زمان واقعی در مورد تغییرات رمز عبور با Specops Authentication Client
  • مسدود کردن بیش از ۳ میلیارد رمز عبور در معرض خطر با فهرست محافظت از رمز عبور نقض شده، که شامل گذرواژه‌های لیست‌های رمز عبور در معرض خطر شناخته شده و همچنین گذرواژه‌های مورد استفاده در حملات فعلی است.
  • رمزهای عبور به خطر افتاده را در محیط Windows AD پیدا و حذف کنید
  • لیست های شخصی، لیست های رمز عبور به خطر افتاده و فرهنگ لغت هش رمز عبور
  • پشتیبانی از کلمه عبور
  • مسدود کردن نام‌های کاربری، نام‌های نمایشی، کلمات خاص، کاراکترهای متوالی و رمزهای عبور افزایشی
  • زمانی که کاربر از قوانین خط مشی رمز عبور پیروی نمی کند، پیام های مشتری اطلاعاتی ارسال می شود

گروه‌های باج‌افزار معمولاً از رمزهای عبور به خطر افتاده در حال حاضر برای راه‌اندازی باج‌افزار و سایر حملات به سازمان‌ها استفاده می‌کنند. این در حمله به خط لوله استعماری مشهود بود و در بسیاری از حملات دیگر نیز صادق است. Specops Password Policy محافظت قدرتمندی در برابر رمزهای عبور ضعیف و در معرض خطر ارائه می دهد.

با Specops Breached Password Protection، شرکت‌ها از محافظت مداوم در برابر رمزهای عبور در معرض خطر برخوردار می‌شوند. Specops در برابر گذرواژه‌های به خطر افتاده قبلی شناخته شده و گذرواژه‌های تازه کشف‌شده مورد استفاده در حملات brute force یا سایر حملات پاشش رمز عبور محافظت می‌کند. علاوه بر این، Specops شبکه خود را از هانی پات ها در سراسر جهان اجرا می کند که داده های تله متری را در مورد رمزهای عبور در معرض خطر جمع آوری می کند. داده های جمع آوری شده برای بهبود بیشتر محافظت در برابر رمزهای عبور به خطر افتاده استفاده می شود.

همانطور که با لیست اکسپرس نشان داده شده است، مدیران فناوری اطلاعات می توانند:

  • از جابجایی کاربران به رمز عبور در معرض خطر جلوگیری کنید
  • به طور مداوم AD را برای گذرواژه‌های در معرض خطر اسکن کنید و از کاربران بخواهید گذرواژه‌های به خطر افتاده خود را تغییر دهند.
  • در صورت نیاز به تغییر گذرواژه به دلیل مصالحه، به کاربران اطلاع دهید.
  • لزاتطلا
  • یبلیبل
  • یبلیبلیقلیبل

آیا این نوشته برایتان مفید بود؟

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

پشتیبانی امداد شبکه
لوگو png امداد شبکه