آسیب‌پذیری‌ در محصولات Fortinet

Fortinet مجموعه‌ای از آسیب‌پذیری‌های امنیتی که چندین محصول این شرکت را تحت تأثیر قرار می‌دهند برطرف نموده است، مجموعه‌ای از نقص‌های با شدت بالا، مانند باگ‌های path traversal در رابط مدیریت FortiDeceptor که ماشین‌های مجازی را به عنوان هانی‌پات برای نفوذگران شبکه مدیریت می‌کند. این غول امنیت سایبری مستقر در کالیفرنیا که بیش از یک سوم کل فایروال‌ها و سیستم‌های مدیریت تهدید یکپارچه را در سراسر جهان به خود اختصاص می‌دهد، تعداد زیادی به‌روزرسانی میان‌افزاری و نرم‌افزاری در روز سه‌شنبه 5 جولای منتشر کرده است.
CVE-2022-26117 : آسیب‌پذیری با شدت بالا (8.0 از 10) در حساب کاربری root پایگاه داده MySQL که محافظت نشده است و در محصول FortiNAC (کنترل دسترسی شبکه) وجود دارد. یک رمز عبور خالی _استفاده از رشته خالی برای رمز عبور_در فایل پیکربندی FortiNAC به مهاجم احرازهویت‌شده اجازه می‌دهد از طریق CLI به پایگاه داده‌های MySQL دسترسی پیدا کند.
CVE-2022-30302 : آسیب‌پذیری‌های path traversal با شدت بالا (7.9 از10) در رابط مدیریت محصول FortiDeceptor که ممکن است به مهاجم احرازهویت‌شده از راه دور اجازه دهد از طریق درخواست‌های وبِ ساختگی، فایل‌های دلخواه را از سیستم‌فایل اصلی بازیابی و حذف کند.
CVE-2021-41031 : آسیب‌پذیری ارتقاء سطح دسترسی با شدت بالا (7.8 از 10) از طریق حمله‌ی directory traversal در محصول FortiClient برای ویندوز، که ممکن است به یک مهاجم غیرمجاز محلی اجازه دهد تا سطح دسترسی خود را از طریق named pipe سرویس FortiESNAC به سطح دسترسی SYSTEM ارتقاء دهد.
CVE-2021-43072 : آسیب‌پذیری سرریز بافر مبتنی بر پشته با شدت بالا (7.4 از 10) از طریق اجرای دستورات ساختگی در CLI محصولات FortiAnalyzer، FortiManager، FortiOS و FortiProxy، که در واقع نقص کپی بافر بدون بررسی اندازه ورودی است _آسیب‌پذیری Classic Buffer Overflow_ که به یک مهاجم دارای حق دسترسی اجازه می‌دهد کد یا دستورات دلخواه خود را از طریق عملیات `execute restore image` و `execute certificate remote` در CLI ساختگی با پروتکل TFTP اجرا نماید.

این آسیب‌پذیری‌ها محصولات Fortinet را به شرح زیر تحت تأثیر قرار می‌دهند:

• CVE-2022-26117 :

fortinet

• CVE-2022-30302 :

fortinet

• CVE-2021-41031 :

fortinet

• CVE-2021-43072 :

fortinet

به کاربران توصیه می‌شود نسخه‌های آسیب‌پذیر محصولات Fortinet خود را به نسخه‌های به‌روزرسانی‌شده که در جداول فوق آورده شده‌اند ارتقاء دهند.

بیشتر بخوانید
irsasafe ۱۴۰۱-۱۰-۰۴ 0 دیدگاه

5 نشانه هک شدن سایت وردپرس شما (و نحوه رفع آن)

در حال حاضر، بیش از 455 میلیون وب‌سایت با وردپرس طراحی شده‌اند که این واقعیت را نشان می‌دهد که سیستم مدیریت محتوای منبع باز یک هدف سودآور برای مجرمان سایبری است و چرا امنیت باید اولویت اصلی کاربران WP باشد .

بله ، نشانه هایی وجود دارد که نشان می دهد وردپرس یا هر وب سایت شما هک شده است ، و راه هایی برای رفع آن وجود دارد . این مقاله پنج راه را ارائه می دهد که می توانید متوجه شوید که وب سایت شما هک شده است یا خیر، و سپس چند راه برای حل هک ارائه می دهد .

به یاد داشته باشید که یک مهاجم مخرب راه های مختلفی برای دسترسی دارد. ممکن است یک بدافزار یا یک پلاگین شرور باشد ، اما ممکن است چیز شوم تری باشد ، مثلاً ایمیل شما هک شده باشد یا گوشی هوشمند/ رایانه شما دارای نرم افزارهای جاسوسی باشد . در اینجا چند نشانه وجود دارد که نشان می دهد وب سایت شما هک شده است .

 1-شما نمی توانید وارد حساب کاربری خود شوید
اگر نمی توانید وارد حساب کاربری خود شوید ، این یک نشانه کلاسیک است که نشان می دهد شما هک شده اید . با این حال ، علیرغم اینکه یک نشانه کلاسیک است ، یکی از کمترین موارد رایج است . بسیاری از هکرها نمی خواهند شما متوجه شوید که هک شده اید . این به آن‌ها اجازه می‌دهد اطلاعات مشتری شما را جمع‌آوری کنند و / یا شما را در وب‌سایت خود نگه می‌دارند تا بتوانند به بهره‌برداری از آن ادامه دهند .

2-پرونده ها و اسکریپت های ناشناخته
برای کسانی از شما که از برنامه نویسی اطلاع دارید ، ممکن است بتوانید وب سایت خود را از هرگونه بدافزار و خطرات امنیتی پاک کنید . اگر مهارت دارید ، می توانید به کد وردپرس خود نگاه کنید ، ممکن است اسکریپت های ناشناخته و پرونده های احتمالاً ناشناخته را در وردپرس خود مشاهده کنید . این اغلب به دلیل افزونه های ناعادلانه است که پرونده های خود را پشت سر می گذارند که ممکن است توسط هکرها یا سایر بدافزارها در تاریخ بعدی استفاده شود .

3-وب سایت شما کند شد
این سیگنالی است که شخصی به دلایل ناعادلانه از وب سایت شما استفاده می کند. این می تواند هر چیزی باشد ، از افرادی که از تصاویر شما و از پهنای باند خود استفاده می کنند ، تا افراد اسپم شده از وب سایت Google Safe شما به یکی از موارد ناخوشایند خود هدایت شوند .

یکی دیگر از دلایلی که وب سایت شما ممکن است برای بارگیری بسیار طولانی تر از حد معمول طول بکشد این است که ممکن است به خطر بیفتد و به عنوان بخشی از یک بات نت در مقیاس بزرگتر استفاده شود . در سال 2018 ، محققان 20،000 وب سایت به خطر افتاده وردپرس را که به عنوان یک بات نت برای انجام حملات سایبری کار می کردند ، شناسایی کردند .

4-موارد عجیب و غریب در وب سایت شما
یک ترفند احمقانه این است که پاپ آپ را به وب سایت خود اضافه کنید . این احمقانه است زیرا شما را به هک هشدار می دهد و باعث واکنش شما می شود . در واقعیت ، آنها پیوندهایی به وب سایت های اسپم اضافه می کنند که بینندگان بی گناه شما از بین می روند . پس از مدتی به دلیل داشتن یک وب سایت مشکوک توسط موتورهای جستجو ممنوع می شوید .

5-درآمد ترافیک یا وابسته شما کاهش یافته است
این یکی دیگر از نشانه های کلاسیک است که نشان می دهد وب سایت شما هک شده است . مهاجم از ترافیک شما و شاید حتی پول وابسته شما برای اهداف خود استفاده می کند . اغلب ، این رفتارهای عجیب و غریب در تجزیه و تحلیل شما است که به شما در مورد هک وردپرس هشدار می دهد .

چطوری میشه اینو تعمیر کرد
اول از همه ، شما باید منبع حمله را شناسایی کنید . اگر نه ، می توانید گزارش های دسترسی سرور خود را بررسی کنید. هنگامی که می دانید حمله از کجا آمده است ، می توانید اقداماتی را برای مسدود کردن آن آدرس IP انجام دهید .

سپس باید شروع به تغییر رمز عبور خود – برای حساب وردپرس خود و همچنین هر FTP یا حساب های میزبانی مرتبط با سایت خود کنید . حتما از رمزهای عبور قوی استفاده کنید که حدس زدن آن ها دشوار است .

علاوه بر این ، می‌توانید ایمیل اصلی وردپرس را فقط در صورت بروز مشکل تغییر دهید . باید افزونه های خود را مرور کنید تا متوجه شوید که آیا یکی از آنها باعث ایجاد مشکل شده است یا خیر . اگر افزونه امنیتی نصب کرده اید، لاگ های آن را بررسی کنید تا ببینید آیا سرنخ هایی وجود دارد یا خیر .

شما باید از طریق افرادی که به آنها مجوز داده اید بروید ، زیرا ممکن است درگیر یک کلاهبرداری وردپرس یا یک وب سایت جعلی شده باشند و ناآگاهانه اطلاعات خود را از دست داده باشند. همچنین ممکن است لازم باشد به میزبان وب خود نیز مشکوک شوید زیرا آنها اغلب هک می شوند یا اطلاعات مشتری را به صورت آنلاین بدون هیچ گونه احراز هویت امنیتی افشا می کنند.

اگر هنوز مطمئن نیستید با یک شرکت امنیتی وب سایت مانند Sucuri یا سرویسی مانند WP Masters تماس بگیرید تا به آنها اجازه دهید در وب سایت شما اجرا شوند ، آن را تعمیر کنند ، هکرها را حذف کنند، بدافزار را حذف کنند و کنترل کامل بر وب سایت خود را دوباره به دست آورند. این اغلب تنها راه قطعی برای بازگرداندن کنترل کامل وب سایت شما است . در نهایت ، باید هر کد مخربی که ممکن است به سایت شما تزریق شده باشد را پاک کنید .

بیشتر بخوانید
irsasafe ۱۴۰۱-۰۶-۰۷ 0 دیدگاه

امکان دسترسی به شبکه‌های سازمانی با نقص مهم در فایروال‌های Zyxel

یک آسیب‌پذیری حیاتی (CVE-2022-30525) که چندین مدل از فایروال‌های Zyxel را تحت تأثیر قرار می‌دهد، به همراه یک ماژول Metasploit که از آن بهره‌برداری می‌کند، به صورت عمومی افشا شده است.

این آسیب‌پذیری که توسط جیک بینز، محقق Rapid 7 کشف شد و در ۱۳‌آوریل به Zyxel اطلاع داده شد، توسط این شرکت با پچ‌هایی که در ۲۸‌آوریل منتشر شد برطرف شد، اما تا کنون توسط شرکت از طریق CVE یا توصیه نامه امنیتی مرتبطی، تأیید نشده است.

جزییات CVE-2022-30525
آسیب‌پذیری CVE-2022-30525، ممکن است توسط مهاجمان احراز هویت نشده و از راه دور برای تزریق دستورات به سیستم عامل از طریق رابط HTTP مدیریتی فایروال‌های آسیب‌پذیر (در صورت قرار گرفتن در اینترنت) مورد سواستفاده قرار گیرد، که به آن‌ها اجازه می‌دهد فایل‌های خاصی را تغییر داده و کامند‌های سیستم‌عامل را اجرا کنند.

همانطور که توسط Zyxel تأیید شده است، این آسیب‌پذیری، بر مدل‌های فایروال و نسخه‌های فریمور زیر تأثیر می‌گذارد:

• USG FLEX 100(W), 200, 500, 700 – فریمور: ZLD V5.00 تا ZLD V5.21 Patch 1

• USG FLEX 50(W) / USG20(W)-VPN – فریمور: ZLD V5.10 تا ZLD V5.21 Patch 1

• ATP Series – فریمور: ZLD V5.10 تا ZLD V5.21 Patch 1

• VPN Series – فریمور: ZLD V4.60 تا ZLD V5.21 Patch 1

رفع و کاهش خطر
با وجود پچی که می‌توان آن را مهندسی معکوس کرد و ماژول Metasploit که در دسترس است، بیش از ۱۶۰۰۰ دستگاه آسیب‌پذیر قابل کشف از طریق Shodan ممکن است در روز‌ها و ماه‌های آینده مورد هدف مهاجمان قرار گیرند، که این اتفاق ممکن است به‌ویژه توسط کارگزاران دسترسی اولیه حادث شود.

به ادمین‌های دستگاه‌های آسیب دیده توصیه می‌شود در اسرع وقت فریمور خود را به نسخه V5.30 ارتقا دهند.

«در صورت امکان، بروزرسانی خودکار سیستم عامل را فعال کنید». بینز همچنین توصیه کرد دسترسی WAN به اینترفیس وب ادمین سیستم را غیرفعال کنید.

بینز از اینکه Zyxel این آسیب‌پذیری را بی‌صدا پچ کرده، ابراز تأسف کرده است، زیرا این «تنها به مهاجمان فعال کمک می‌کند و مدافعان را در مورد خطر واقعی مسائل جدید کشف‌شده در ناآگاهی کامل ر‌ها می‌نماید».

با این حال، زایکسل می‌گوید که این مسأله عمدی نبوده، بلکه به دلیل «ارتباط نادرست در طول فرآیند هماهنگی افشای اطلاعات» پیش آمده است.

بیشتر بخوانید
a.fayyazi ۱۴۰۱-۰۲-۲۶ 0 دیدگاه

هشدار گروه هکری « Anonymous » به شرکت‌های فعال در روسیه

هشدار گروه هکری « انانیموس » در خصوص قطع فعالیت خود به شرکت‌های فعال در روسیه.

۴۸ ساعت فرصت دارید تا روسیه را ترک کنید.

گروه هکری « Anonymous » که ترجمه فارسی آن «ناشناس» می‌شود به شرکت‌هایی که همچنان در روسیه به فعالیت خود ادامه می‌دهند اخطار داد که در صورت عدم ترک روسیه، وب‌سایت‌های مرتبط به آن‌ها را هک خواهند کرد . شرکت هایی همچون Nestle , Citrix , Burger King و …

این گروه هکری تاکنون چندین سازمان دولتی روسیه را هدف حملات هکری قرار داده و پیش تر اسناد سازمان‌های دولتی روسیه را که درباره جنگ اوکراین به دست آورده بود را منتشر کرده است.
این گروه به این شرکت‌ها ۴۸ ساعت فرصت داده است و هشدار داده در صورت عدم ترک در انتظار حملات هکری به وب‌سایت‌های خود باشند.

شرکت نستله پس از فشارهایی که به دلیل فعالیت در روسیه بر این شرکت وارد شده روز چهارشنبه اعلام کرد که برخی از فعالیت‌های غیر ضروری خود در روسیه را به حالت تعلیق در می‌آورد. سهام این شرکت پس از انتقادهای گسترده ۱/۳ درصد افت کرد

بیشتر بخوانید
a.fayyazi ۱۴۰۱-۰۱-۰۳ 0 دیدگاه

استفاده هکرهای ایرانی از Backdoor جدید Marlin در کمپین جاسوسی «Out to Sea»

به ادعای هکرنیوز، یک گروه تهدید دائمی پیشرفته (APT) که با ایران ارتباط دارد، مجموعه ابزار بدافزار خود را بروزرسانی کرده است تا backdoor جدیدی به نام Marlin را به عنوان بخشی از یک کمپین جاسوسی طولانی‌مدت که در‌آوریل ۲۰۱۸ آغاز شده است، شامل شود.

شرکت امنیت سایبری اسلواکی ESET این حملات را که با اسم رمز “Out to Sea” از آن یاد شده، در حالی که به طور قطعی فعالیت‌های خود را به گروه دوم ایرانی که تحت نام Lyceum ردیابی می‌شود (Hexane با نام مستعار SiameseKitten) مرتبط می‌داند، به یک عامل تهدید به نام OilRig (معروف به APT34) نسبت داده است.

مجموعه ESET در گزارش تهدید T3 ۲۰۲۱ خود که با هکر نیوز به اشتراک گذاشته است، خاطرنشان کرد: “قربانیان این کمپین شامل سازمان‌های دیپلماتیک، شرکت‌های فناوری، و سازمان‌های پزشکی در اسرائیل، تونس و امارات متحده عربی هستند”.

طبق این ادعا، این گروه هکری که حداقل از سال ۲۰۱۴ فعال است، به دولت‌های خاورمیانه و بسیاری از بخش‌های تجاری از جمله صنایع شیمیایی، انرژی، مالی و مخابراتی حمله می‌کند. در‌آوریل ۲۰۲۱، این عامل سایبری یک نهاد لبنانی را با ایمپلنتی به نام SideTwist هدف قرار داد. از طرفی نیز، کمپین‌هایی که قبلاً به Lyceum نسبت داده شده بود، شرکت‌های فناوری اطلاعات در اسرائیل، مراکش، تونس و عربستان سعودی را هدف گرفته بودند.

زنجیره‌های آلودگی Lyceum همچنین به این دلیل قابل توجه هستند که از زمانی که کمپین در سال ۲۰۱۸ آشکار شد (با DanBot شروع شد و در سال ۲۰۲۱ به Shark و Milan منتقل شد) با حملاتی که در آگوست ۲۰۲۱ شناسایی شدند، باعث نفوذ مجموعه جدید داده‌های بدافزاری به نام مارلین شدند.

تغییرات به همین جا ختم نمی‌شود. با تفاوت قابل توجهی از OilRig TTP‌های سنتی، که شامل استفاده از DNS و HTTPS برای ارتباطات command-and-control (C&C) می‌شود، مارلین از OneDrive API مایکروسافت برای عملیات C2 خود استفاده می‌کند.

مجموعه ESET، با اشاره به اینکه دسترسی اولیه به شبکه با استفاده از spear-phishing و همچنین دسترسی از راه دور و نرم‌افزار‌های مدیریتی مانند ITbrain و TeamViewer به دست آمده، شباهت‌ها در ابزار‌ها و تاکتیک‌های بین backdoor‌های OilRig و Lyceum را “بیش از حد متعدد و خاص” عنوان کرد.

محققان می‌گویند: «backdoor متعلق به ToneDeaf در اصل با C&C خود از طریق HTTP/S ارتباط برقرار می‌کرد، اما شامل یک روش ثانویه، تونلینگ DNS بود که به درستی کار نمی‌کند. Shark علائم مشابهی دارد و در جایی روش ارتباطی اولیه آن از DNS استفاده می‌کند اما یک گزینه ثانویه HTTP/S غیر کاربردی دارد».

اساساً ToneDeaf که از جمع‌آوری اطلاعات سیستم، آپلود و دانلود فایل‌ها و اجرای دستورات shell دلخواه پشتیبانی می‌کند؛ این مورد، یک خانواده بدافزار است که توسط عامل APT34 با هدف قرار دادن طیف گسترده‌ای از صنایع فعال در خاورمیانه در جولای ۲۰۱۹ به کار گرفته شده است.

علاوه بر این، یافته‌ها همچنین به استفاده همپوشانی از DNS بعنوان یک کانال ارتباطی C&C اشاره کرد؛ در حالی که از HTTP/S به عنوان یک روش ارتباطی ثانویه و استفاده از فولدر‌های متعدد در دایرکتوری فعال یک Backdoor برای آپلود و دانلود فایل‌ها از سرور C&C استفاده می‌شود.

بیشتر بخوانید
a.fayyazi ۱۴۰۰-۱۱-۲۶ 0 دیدگاه

هدفگیری میلیون‌ها کاربر با کلون های Pirate Bay

تبلیغات بد یا مخرب به عنوان یک تهدید به سرعت محبوبیت پیدا کرده‌اند. این مورد شامل طرح‌های کلاهبرداری تبلیغاتی با فریب بازدیدکنندگان وب سایت‌ها است. طبق یک گزارش، تبلیغات نادرست و فریبکارانه در سه ماهه سوم سال ۲۰۲۱ شاهد افزایش ۲۳۱ درصدی بود. این نوع حملات معمولاً در وب‌سایت‌های تورنت و مستهجن به صورت قارچ گونه مشاهده می‌شوند. به تازگی یک کمپین جعل هویت وب سایت تورنت معروف Pirate Bay در فضای سایبری مشاهده شده است.

چه خبر است؟
سایبرنیوز پنج دامنه مخرب را کشف کرده که به عنوان The Pirate Bay در فضای سایبری در حال خودنمایی بوده‌اند. این دامنه‌ها هر ماه با استفاده از محتوای رایگان برای جذب اهداف، تبلیغات مخرب را به بیش از هفت میلیون کاربر ارائه می‌کردند.

همه وب‌سایت‌ها لینک‌های مگنت دانلود تورنت جعلی و چندین آگهی ارائه شده در پس‌زمینه صفحات را به صورت انباشته ارائه می‌دهند. آن‌ها این اطمینان را حاصل می‌کنند که با کلیک بر روی یک تبلیغ، چندین آگهی مخفی و احتمالاً مخرب ایجاد می‌شود. علاوه بر این، وب‌سایت‌ها فایل‌های تورنت مصنوعی را ارائه می‌کنند که فایل‌های مخرب جاوا اسکریپت را منتشر می‌کنند.

اهمیت این فعالیت‌ها در چیست؟
فایل‌های مخرب جاوا اسکریپت برای شناسایی کاربران، ثبت فعالیت‌های آن‌ها و ارائه تبلیغات مزاحم به آن‌ها استفاده می‌شود. این می‌تواند برای استخراج داده‌های شخصی قربانی، ایجاد backdoor به سیستم آلوده، یا نصب باج‌افزار، در میان سایر فعالیت‌های مخرب، مورد استفاده قرار می‌گیرد. کمپین‌های بدافزار در سایت‌های تورنت جعلی گسترده شده‌اند زیرا مهاجمان به راحتی می‌توانند دانلود‌ها را قانونی و حقیقی جلوه دهند. از آنجایی که باز کردن یک فایل تورنت مستلزم ارائه مجوز از سوی کاربر است، برخی ممکن است سهوا بدون اینکه متوجه شوند چه چیزی به آن‌ها ضربه‌زده است، بدافزار را دانلود کنند.

چرا سایت‌های تورنت؟
کلاهبرداران همچنین می‌توانند از شبکه‌های تبلیغاتی قانونی برای گسترش کمپین‌های تبلیغات بد و نمایش تبلیغات مخرب در سایت‌های معروف استفاده کنند.

در حالی که آن‌ها را می‌توان در هر نوع وب سایتی ارائه کرد، سایت‌های تورنت محبوب‌ترین گزینه هستند زیرا این سایت‌ها به عنوان دروازه‌ای برای فایل‌های غیرقانونی در بازار سیاه عمل می‌کنند. علاوه بر این، سایت‌های تورنت در مقایسه با وب‌سایت‌های دیگر، از نفوذ بیشتری در میان کاربران برخوردار هستند.

نتیجه‌گیری
متأسفانه برای خنثی کردن سایت‌های تورنت تقلبی کار زیادی نمی‌توان انجام داد. با این حال، یادگیری در مورد ایمنی آنلاین و اجرای برنامه‌های adblocker و آنتی ویروس قابل اعتماد می‌تواند کمک زیادی به محافظت از کاربران کند. علاوه بر این، مطمئن‌ترین راه برای ایمن ماندن این است که کاربران تبلیغات را با دقت بخوانند و از کلیک روی لینک‌های مشکوک خودداری نمایند.

بیشتر بخوانید
a.fayyazi ۱۴۰۰-۱۱-۲۶ 0 دیدگاه

آسیب‌های جبران‌ناپذیر جرایم سایبری خارج از کنترل در دنیای واقعی

باج‌افزار‌ها و حملات آنلاین می‌توانند منجر به عواقب مرگبار در دنیای واقعی شوند. دولت‌ها باید در پاسخ به مشکلات، حضور فعالتری در این عرصه داشته باشند.

در سال ۲۰۲۲، حوادث سایبری باعث اختلال واقعی و پایدار در آسایش روزمره ما خواهد شد که حتی شاید بتواند مردم را به مسیر مرگ بکشاند. این به دلیل پیشرفت ژئوپلیتیکی بزرگی نیست، بلکه به این دلیل است که گروهی از جنایتکاران نیمه پیچیده، سازمان یافته و عمدتاً روسی به طور فزاینده‌ای از کنترل خارج شده‌اند.

چند سالی است که ترکیبی عجیب از هالیوود و مجموعه نظامی_صنعتی به ما می‌گوید که حملات سایبری تهدیدی وجودی برای بشریت است، اما واقعیت چیز دیگری بوده است. آسیب‌های سایبری که توسط افراد مخرب تحمیل می‌شود بسیار جدی است، اما عمدتاً به روش‌های نفوذی و برنده و عمدتاً نامرئی انجام می‌شوند. نزدیک‌ترین مورد، افراد عادی هستند که در مواجهه با «حمله سایبری» یا مقدار کمی پول از دست می‌دهند و یا نامه‌ای از شرکت که با آن تجارت می‌کنند دریافت می‌نمایند که به آن‌ها می‌گویند برخی از داده‌های شخصی که ارزش آن را نمی‌دانند، توسط افرادی در قاره دیگری که هیچکس واقعاً هویت آن‌ها را نمی‌داند، به سرقت رفته است. یک استثنای عجیب وجود دارد (به عنوان مثال، دولت روسیه علاقه زیادی به ضربه زدن به اوکراین دارد) اما برای اکثر مردم در بیشتر کشور‌ها، حملات سایبری چندان مورد توجه قرار نگرفته است.

اما این حالت تغییر خواهد کرد، زیرا مجرمان سایبری به طور فزاینده‌ای به روش‌هایی حمله می‌کنند که عواقب بسیار آسیب‌رسان‌تر و قابل مشاهده‌تری دارند. در نیمه اول سال ۲۰۲۱، اختلال در خط لوله Colonial Pipeline در ایالات متحده باعث خالی شدن دو سوم پمپ بنزین‌ها در کارولینای جنوبی شد که باعث اوجگیری وحشت و تمام خطرات ناشی از آن شد. غذا‌های تازه در مقادیر زیادی در سوئد به این دلیل که مغازه‌های سوپرمارکت کار نمی‌کردند به افراد داده می‌شد. مدارس در نیوزلند و بریتانیا آسیب دیدند. خطرناکتر از همه، مراقبت‌های بهداشتی مورد هدف قرار گرفت. در ماه می‌، کل سرویس بهداشتی ایرلند برای هفته‌ها فلج شد و در طول بهار و تابستان ده‌ها بیمارستان در اروپا و ایالات متحده به دلیل حملات باج‌افزاری از دریافت خدمات سیستم‌های حیاتی محروم شدند.

در ماه ژوئن، حملات سایبری در نشست سالانه کشور‌های G7 در کرنوال در دستور کار قرار گرفت و بسیاری از بزرگان صنعت امنیت سایبری‌ امیدوار بودند که این مسأله همراه با مقابله جو بایدن با ولادیمیر پوتین به دلیل پناه دادن به جنایتکاران در خاک روسیه، جریان را تغییر دهد. با این حال، بعید است که این اتفاق بیفتد، زیرا ما هنوز تقریباً هیچ راهی برای مجازات مجرمان سایبری نداریم.

پس از یک سکون کوتاه مدت، فعالیت باج‌افزار‌ها در سال ۲۰۲۱ ادامه یافت و خطر کمتری را در پی نداشت. علیرغم توجه جهانی به فعالیت‌های آن‌ها، فقدان تحریم‌های قابل قبول، این جرات را به جنایتکاران داده است تا به مراکزی از جمله به مراکز مراقبت از کودکان و بیمارستان‌ها در ایالات متحده و سیستم رزرو واکسن کووید در داخل و اطراف رم حمله کنند. بدتر از آن این است که، توجه سیاسی به این مشکلات سایبری در حال کاهش است.

در آینده‌ای نزدیک، دولت‌ها، بازرسان و محققان باید از خود حضور بیشتری نشان دهند. حملات باج افزار، حملاتی سودآور برای مهاجمین هستند. در سال ۲۰۲۱، گروه هکر‌های DarkSide که خط لوله Colonial Pipeline را غیرفعال کردند، تنها در ۹ ماه حداقل ۹۰ میلیون دلار (۶۶ میلیون پوند) درآمد کسب کردند. Emisoft، یک شرکت امنیت سایبری، مجموع پرداخت باج در سال ۲۰۲۰ را حداقل ۱۸ میلیارد دلار محاسبه کرده است. و این بدان معناست که مهاجمان در مورد ایجاد صدمات فیزیکی واقعی تردید‌های کمتری دارند. هیچ مدرک مستقیمی وجود ندارد که نشان دهد کسی در نتیجه حملات سایبری امسال به بیمارستان‌ها جان خود را از دست داده است. اما جلوگیری از دریافت واکسن توسط افراد همچنان یک عمل خشونت‌آمیز است، حتی اگر از راه دور توسط رایانه انجام شود. در سال ۲۰۲۲، زمانی که آن چهره‌های مخفی که در پشت صفحه نمایش خود پنهان شده‌اند، باعث صدمه یا مرگ واقعی انسان شوند، زمانیست که آسیب بزرگ و فیزیکی از اعمال سایبری بروز پیدا خواهند کرد.

بیشتر بخوانید
a.fayyazi ۱۴۰۰-۱۱-۲۶ 0 دیدگاه

آلودگی هزاران کاربر QNAP به باج‌افزار DeadBolt

به گزارش infosecurity magazine ، هزاران کاربر QNAP تأمین‌کننده استوریج متصل به شبکه (NAS)، به یک نوع باج‌افزار جدید آلوده شده‌اند.

مجموعه QNAP که مرکز آن در تایوان است، این هفته گفت که مشتریان و کاربران باید فوراً سیستم‌های خود را به آخرین نسخه سیستم‌عامل‌های QTS ارتقا دهند و برای کاهش مخاطرات این کمپین اقداماتی را برای قطع دستگاه‌ها از اینترنت انجام دهند.

این باج‌افزار جدید که «DeadBolt» نامیده می‌شود، در ازای ارائه یک کلید رمزگشایی، 0.03 بیت‌کوین (۱۱۰۰ دلار) مطالبه می‌کند.

در این اطلاعیه آمده است: “این یک حمله شخصی نیست. شما به دلیل امنیت ناکافی ارائه شده توسط فروشنده خود (QNAP) هدف قرار گرفته اید”.

شرکت اینونتوری Censys هفته گذشته ادعا کرد که حدود ۵۰۰۰ دستگاه از این دست تحت تأثیر این باج‌افزار قرار گرفته‌اند، اگرچه این تعداد، از مجموع ۱۳۰۰۰۰ دستگاه در سراسر جهان می‌باشد.

جالب اینجاست که تأمین‌کننده مشاهده کرده که تعداد آلودگی‌ها به شکل قابل ملاحظه‌ای بین ۲۶ و ۲۷ ژانویه به شدت کاهش یافت.

در این بیانیه آمده است: «در طول شب، تعداد سرویس‌های باج‌افزار DeadBolt حدود ۱۰۶۱ مورد کاهش یافت و به ۳۹۲۷ سرویس آلوده در دسترس اینترنت عمومی رسید».

دلیل دقیق این کاهش در حال حاضر مشخص نیست و ما به نظارت بر وضعیت ادامه می‌دهیم. اما اوایل امروز، Malwarebytes گزارش داد که QNAP یک بروزرسانی خودکار اجباری را برای سیستم عامل مبتنی بر لینوکس خود به نام QTS برای رفع این آسیب‌پذیری منتشر کرده است. این بروزرسانی ظاهراً فایل اجرایی باج‌افزار را حذف کرد و تغییرات اینترفیس وب ایجاد شده توسط باج‌افزار را به حالت قبل باز می‌گرداند.

اخاذی‌ها از QNAP به آن‌ها این فرصت را داده بودند تا معادل ۵۰ بیت کوین (1.8 میلیون دلار) را برای رمزگشایی تمام داده‌های مشتری بپردازند، اما به نظر نمی‌رسد که آن‌ها به این خواسته‌ها تن داده باشند.

بیشتر بخوانید
a.fayyazi ۱۴۰۰-۱۱-۱۶ 0 دیدگاه