اخبار
SaveTheQueenیکی از #بدافزارهای رمزگذار فایل های سیستم می باشد که در اواخر نوامبر 2019 میلادی طراحی شده و در دسامبر 2019 میلادی انتشار یافته است. این بدافزار برخلاف #باج_افزار ها هیچگونه فایل راهنما جهت تماس با مهاجمان ایجاد نکرده و تنها به رمز کردن فایلهای سیستم اکتفا میکند. براساس گفته های محققان، الگوریتم مورد استفاده شده در این بدافزار AES-256می باشد و از طریق فایل های مخرب ایمیل های اسپم، وبسایتهای مخرب و موجود در تورنت و تبلیغات مخرب وارد سیستم میشود. همچنین براساس یافته ها، باج افزاری نیز قبل از این با این نام انتشار یافته است که عملکرد مشابهی را در سیستم داشته ولی از تفاوتهای آن میتوان به وجود فایل راهنما اشاره کرد. این بدافزار توانایی رمزگذاری فایل های با متن فارسی را داشته و آنها را بدون استفاده میکند.
دانلود پیوست
#Gafgyt که با نام #Bashlite نیز شناخته میشود یکی از معمولترین انواع بدافزار است که از سال 2014 در حال آلوده کردن دستگاههای اینترنت اشیا میباشد. گونهی جدیدی از این بدافزار روترهای SOHO (روترهای کوچک اداری و خانگی) با برندهای معروف مانند Huawei و Asus را مورد هدف قرار داده است. در گونهی جدید، عملکرد اصلی بدافزار Gafgyt یعنی حمله به دستگاههای اینترنت اشیا و تحت کنترل گرفتن آنها با بهرهبرداری از آسبپذیریهای شناخته شده جهت استفاده از توانشان در حملات DDoS به قوت خود باقی است. در این گونه جدید موارد زیر مشاهده میشود:
• در این گونه جدید، بدافزار برای فعال نگه داشتن باتنت خود، 48 نوع باتنت رقیب دیگر را متوقف میکند، که در این بین 56 درصد از باتنتها، باتنتهایی شناخته شدهی حوزه اینترنت اشیا هستند.
• روترهای Huawei HG532 و Asus را از طریق آسیبپذیریهای شناخته شده CVE-2017-17215 و CVE-2018-15887 هدف قرار میدهد.
• هدف حملات DDoS سرورهای game خصوصاً سرورهای Valve Source Engine است.
دانلود پیوست
#باج_افزار Angus یکی از باج افزارهای جدید و خانواده Phobos می باشد که در ماه نوامبر 2019 میلادی انتشار یافته است.این باج افزار از طریق فایل های ضمیمه ایمیل های اسپم و آسیب پذیری-های موجود وارد سیستم شده و بعد از نصب و راه اندازی با استفاده از الگوریتم رمزنگاری AES، اقدام به تغییر فایل های سیستم کرده و پسوند .id[ID].[decrypt@files.mn].angus را به انتهای هر فایل اضافه می کنند. همچنین به گفته محققان در برخی موارد مشاهده شده است که مهاجمان با اسکن سیستم هایی که RDP در آن ها فعال می باشد (با اسکن پورت 3389)، این باج افزار را وارد سیستم کاربر قربانی شده، می کنند.
دریافت پیوست
#باج_افزار Kharma یکی از بدافزارهای رمزگذار فایل و از خانواده Dharma/Crysis می باشد که در ماه نوامبر 2019 میلادی از طریق فایل های ضمیمه ایمیل های آلوده، وب سایت های تورنت و تبلیغات مخرب انتشار یافته است که برای اولین بار توسط Raby کشف شده است. با توجه به فایل ایجاد شده توسط باج افزار در سیستم مهاجمان ادعا می کنند که فایل های سیستم با استفاده از الگوریتم RSA2048 رمزشده است. تمام فایل هایی که به صورت رمزشده درآمده اند به انتهای آن ها پسوند .id-ID.[teammarcy10@cock.li].kharma اضافه شده و در داخل هر پوشه دو فایل راهنما با نام-های RETURN FILES.txt و Info.hta ایجاد می گردد.
دریافت پیوست
در تاریخ 12 دسامبر سال 2019 میلادی، اخباری مبنی بر مشاهده #باجافزاری با عنوان DMR در فضای سایبری منتشر شد. طبق شواهد موجود، باجافزار DMR از کتابخانهای متفاوت با نام cryptopp در فرآیند رمزنگاری خود بهره برده است. این باجافزار پسوند .DMR64 را به انتهای هر فایل رمزشده اضافه میکند. با توجه به اینکه مدت زمان زیادی از مشاهده این باجافزار نمیگذرد، تاکنون اخباری در رابطه با روش انتشار این باجافزار و تعداد موارد آلوده شده به آن در سراسر جهان منتشر نشده است. تحلیل پیش رو، مربوط به این باجافزار میباشد.
دانلود پیوست
وقتی صحبت از #امنیت_سایبری میشود، پیشبینی تهدیدات به جای واکنش مقابل آنها دارای اهمیت بالاتری است. در یک چشم انداز کلی، تهدیدات به طور مداوم در حال تغییر و تحول است، دیگر وصله کردن رخنهها و یا انجام بهروزرسانیها در مقابل تهدیدات دیروز، دیگر کافی نیست. سال جدیدی پیش روی ماست و همراه آن تهدیدهای جدیدی، به ویژه در دنیای امنیت سایبری، در انتظار ماست. در این مطلب 5 پیشبینی در حوزه امنیت سایبری برای سال 2020، به منظور کمک در پیشگیری از تهدیدات آورده شده است که در ادامه بررسی خواهند شد.
1- #باجافزار ها قرار است شبهای بیخوابی بیشتری را بهوجود آورند.
• باجافزارها پیشرفتهتر میشوند.
• با وجود پیشرفتهترین راهحلهای امنیتی برای ایمیلها، باز هم این موارد دور زده خواهند شد.
• آلودگی ناشی از باجافزارها دارای پیامدهای مخربتر است.
آلودگیهای باجافزار (Ransomware) اکنون با پیچیدگی بیشتر و به صورت خودکار، حتی در پیشرفتهترین راهحلهای امنیتی ایمیل نیز قابل نفوذ هستند، خصوصاً وقتی صحبت از ایجاد تغییرات و استفاده از تروجانها مطرح میشود. علاوه بر این، راهحلهای امنیتی فعلی، حملات باجافزار را فقط چند ساعت پس از انتشار تشخیص میدهند، که اغلب طولانیتر از زمان کافی برای آسیب رساندن است.
برای نمونه میتوان به Emotet اشاره کرد. یکی از عواملی که Emotet را بسیار موفق میکند این است که از لیست کوتاه مشخصی از اهداف استفاده می کند، بنابراین اقدامات برای کشف آن زمان بیشتری میبرد. این حملات همچنین به طور مداوم در حال تغییر IOC هستند، بنابراین حتی هوشمندترین روشهای مبتنی بر امضا، IDS و سایر راهحلهای سنتی قادر به تشخیص به اندازه کافی سریع آن نیستند.
همانطور که میبینیم، تقریباً به طور مداوم و هر هفته این حملات اتفاق میافتند. مهاجمان یک پایگاه از نمونههای جدید ایجاد میکنند که شامل تکنیکهای جدید مبهمسازی و دور زدن شناساییها است. آنها سپس نمونهها بر اساس این تکنیکها تولید کرده و در سطح وسیع توزیع میکنند. مراکز امنیتی تولید ضدبدافزار و ضدباجافزار، باید در حالی که مهاجمین پایگاه جدیدی را برای نمونهها ایجاد میکنند، از آنها جلو زده و روشهایی را به محصول خود اضافه کرده که قادر به شناسایی نمونههای جدید باشند.
2- حملات #فیشینگ نگرانی اصلی مدیران امنیتی خواهد بود.
• ما همیشه میشنویم که تمام متخصصان امنیتی به دنبال راهحلهایی برای حل خطر رو به رشد حملات فیشینگ هستند.
• یک سال پیش، بدافزارها بزرگترین تهدید برای مشاغل تلقی میشدند. با نزدیک شدن به سال 2020، حملات فیشینگ دغدغه اصلی هستند.
امروزه، بیشتر سازمانهایی که به دنبال تقویت امنیت در سرویسهای ایمیل خود هستند، نیاز به مسدود کردن حملات فیشینگ دارند. در آینده حملات فیشینگ پیشرفتهتر میشوند و حتی متخصصترین افراد نمیتوانند تمامی موارد آنها را تشخیص دهند. کیتهای فیشینگ موجود در dark web، همراه با لیست مدارک معتبر برای حملات هدفمند، به معنای افزایش حجم حملات فیشینگ و پیشرفت روشهای آنها هستند.
علاوه بر این، آثار حملات فیشینگ شدیدتر و مخربتر شده است. نشت دادهها، کلاهبرداری مالی و سایر پیامدهای حمله فیشینگ میتواند عواقب ناگواری برای سازمانها در هر اندازه، داشته باشد. بهتر است بدانیم، مطابق با آمار گزارش Verizon 2019 DBIR، حملات فیشینگ عامل شماره یک برای نشت اطلاعات است.
در واقع یک نیاز ضروری و لازم در این سالها در حوزه سایبری، پیادهسازی سامانههایی است که بتوانند این نوع حملات را به خصوص هنگامی که از طریق ایمیل ارسال میشوند، شناسایی و مسدود کنند.
3- اهمیت تشخیص سریع و فوری تهدیدات بلافاصله پس از رخ دادن
• پس از رخ دادن یک تهدید، شمارش معکوس برای تکثیر گسترده آغاز میشود.
• ساعتها طول میکشد تا راهحلهای امنیتی مبتنی بر داده، تهدیدات جدید را شناسایی کنند.
• این بخش خطرناکترین مرحله از حملات است.
• سازمانها کم کم تحمل خود را در مقابل این تأخیر، از دست میدهند.
سازمانها و متخصصان امنیتی شروع به تصدیق این موضوع كردهاند که این تأخیرها در روند شناسایی تهدیدات جدید باعث به وجود آمدن تهدیداتی بالقوه شدهاند و انتظار میرود كه آن را در سال 2020 به عنوان یك چالش اساسی قلمداد كنند.
4- پلتفرمهای همکاری سازمانی به عنوان هدفهای حمله محبوبتر می شوند.
• بسترهای نرمافزاری مانند درایوهای ابری و پیامرسانها به طور فزایندهای توسط مهاجمین مورد توجه قرار میگیرند.
• این پلتفرمهای همکاری سازمانی، اغلب بلافاصله مورد اعتماد کاربران قرار میگیرند و مهاجمین در واقع از این مزیت استفاده میکنند.
استفاده از خدمات اشتراکی و ابری در حال انفجار است. کاربران بطور فزاینده از ابزارهایی مانند OneDrive مایکروسافت، Google Drive و غیره استفاده میکنند. اگرچه این استفاده روز افزون بسیار مفید است اما چالشی بی نظیر برای یک حرفه در حوزه امنیت است.
این خدمات همواره تحت حمله مداوم قرار دارند و نوع حملات پیچیدهتر، با روشهای شناسایی بسیار سختتر خواهند بود. همچنین هدفهای حمله جدید ظاهر میشوند، این بدان معناست که خطرات و آسیبهای احتمالی در این حوزه که میتوانند ایجاد شوند، در حال رشد هستند.
5- مراکز دارای محصولاتی برای "شبیه سازی حمله و نشت اطلاعات" راهحلهای خود را بر روی انواع و هدفهای حمله مختلف گسترش میدهند.
• به گفته مرکز گارتنر، اکثر تهدیدات هنوز از کانال ایمیل آغاز میشوند.
• بررسی ایمیل شامل 94 درصد از شناسایی بدافزارها بوده است و باعث زیان بیش از 1.2 میلیارد دلار در سال 2018 شده است.
• ابزارهای Breach and Attack Simulation (BAS) دفاع از شبکه را با شبیهسازی حمله سایبری آزمایش میکنند، اما BAS برای ایمیل هنوز تاثیر واقعی را ندارد.
از تولیدکنندگان BAS انتظار میرود که راه حلهای خود را برای کل حملات و تهدیدات موجود گسترش دهند و راهحلهای جامعتری برای مشتریان خود ارائه دهند. از آنجا که ایمیل یک هدف حمله محبوب است، به احتمال زیاد آنها به عنوان بخشی از راه حلهای BAS پوشش ایمیل را آغاز میکنند.
پیشبینیهای امنیت سایبری برای سال 2020: چالشهای پیشرو
ابزارها و بسترهایی از جمله ایمیل، که استفاده زیادی داشته و به صورت گسترده کاربران با آن سر و کار دارند، از جهتی دیگر به معنای افزایش ریسک و آسیبپذیری برای تیمهای امنیتی است. صرفنظر از اینکه این که تمهیدات امنیتی در این بستر انجام شده باشد، تهدیداتی مانند باجافزار، فیشینگ یا حملات هدفمند به پلتفرمهای محبوب در سال جدید مورد توجه هستند و محافظت از سیستمها و دادههای کاربران و سازمانها کاری است که متخصصان حوزه امنیت باید بر روی آن متمرکز شوند. از طرفی دیگر، در حالی که به صورت مداوم محصولاتی برای محافظت در برابر این تهدیدها ارائه میشوند، مهاجمان دائماً در حال بدست آوردن تکنیکهایی برای دور زدن راهحلهای امنیتی هستند.
آنچه روشن است این است که راهحلها و تکنیکهایی که برای برقراری امنیت در سال 2019 در حال استفاده است برای حفظ امنیت سازمان در سال 2020 به طور خودکار قابل اتکا نیست و هرگز نقش امنیت سایبری، در سازمانها به اهمیت امروز نبوده است.
نکته مهم این است که ما یک سال هیجان انگیز را در پیشرو داریم: تهدیدهای جدید، چالشهای جدید و دنیایی که به طور فزایندهای در ارتباط است و برای حفظ امنیت نیاز به کمک ما دارد.
منبع:
https://www.helpnetsecurity.com/2019/12/09/cybersecurity-predictions-2020
از اواسط ماه نوامبر سال 2019 میلادی، اخباری مربوط به #باجافزار ی با عنوان #AnteFrigus در فضای سایبری منتشر شد. طبق مشاهدات صورت گرفته، این باجافزار تنها درایوهای خاصی از سیستم قربانی را مورد هدف قرار داده و هیچ فایلی از درایو C سیستم قربانی را رمزگذاری نمیکند. باجافزار AnteFrigus از الگوریتم Salsa20جهت رمزگذاری فایلهای موردنظر خود استفاده کرده و برای رمزگشایی فایلهای قربانی، مبلغ 1995 دلار به بیتکوین باج درخواست میدهد. تحلیل پیش رو، مربوط به یکی از نسخههای اخیر منتشر شده از این باجافزار میباشد.
در اوسط ماه می سال 2019 میلادی، اخباری مبنی بر انتشار باجافزاری با عنوان Buran منتشر شد. این باجافزار نسخه توسعه یافته باجافزار Jamper میباشد. براساس گزارش وبسایت id-ransomware نسخه اولیه این باجافزاراز طریق انجمنهایی با آدرسهای ifud.ws، verified.sc، exploitinqx4sjro.onion، forum.zloy.bz، darkmarket.la به صورت سرویس(RaaS) به فروش میرسد. پس از نسخه اول، نسخه دوم و نسخه ای با عنوان Ghost از این باجافزار در ماه ژوئن منتشر شد و از اواسط ماه نوامبر، اخباری مربوط به نسخه جدید این باجافزار در فضای سایبری منتشر شد که تحلیل پیش رو، مربوط به آخرین نسخه از این باجافزار یعنی Buran 3.0 میباشد.
طبق گزارش اخیر "Demand Quality Report for Q3 2019"، شرکتهای امنیت و بررسی کلاهبرداری در تبلیغات، تأثیرات120 میلیارد آگهی را بین 1 ژانویه و 20 سپتامبر مورد بررسی قرار دادهاند که از طریق سیستمها، از فعالیتهای تبلیغاتی مخرب مختلف استفاده شده است.
همچنین در این گزارش در مورد تبلیغات با کیفیت پایین و تبلیغات بنری که در اسلاتهای ویدیویی ظاهر می شود، بحث شده است و بر روی تبلیغات مخرب شناسایی شده و کمپینهایی که از آنها استفاده میکنند تمرکز شده است.
یک تبلیغ مخرب توسط Confiantاینگونه تعریف میشود که رفتارهای ناخواستهای مانند هدایت اجباری برای مسیر موردنظر کلاهبرداری، cryptojackingو یا آلوده کردن سیستم بازدیدکنندهها توسط تبلیغات را، شامل میشود. گاهی یک تغییر مسیر اجباری ایجاد شده یا یک فایل مخرب برای اهداف خاص بارگذاری میشود. همچنین گمراه کردن کاربران از طریق فیشینگ نیز مدنظر است، البته اجبار برای دریافت فایلهایی که میتواند شامل باجافزارها نیز باشد یا اجرای بدافزارهایی برای الحاق سیستم قربانی به باتنتها نیز در این موارد اتفاق افتاده است.
از کار انداختن تبلیغات مخرب
بر اساس گزارش "Demand Quality Report for Q3 2019"، Confiant120 میلیارد اثر تبلیغات در برنامهها را که توسط سیستم رسیدگی تبلیغاتی آنها رصد شده بود، تجزیه و تحلیل کرده است.
خبر خوب این است که به دلیل راهحلهایی مانند فیلتر بعضی از تبلیغات مخرب در مرورگر کاربر، این تعداد در حال کاهش است، همچنین صاحبان سایتها درصدد هستند تا تصمیماتی را اتخاذ کنند تا جلوی تبلیغات غیرمجاز در سایتهای خود را بگیرند و کنترلهای حساستر و محکمتری در بین (SSP)Supply Side Platforms داشته باشند.
دانلود پیوست
اخیراً #باجافزار ی به نام Clop CryptoMix به صورت گسترده منتشر شده است که بهمنظور رمزنگاری موفقیتآمیز دادههای یک قربانی، سعی در غیرفعال کردن windows defender و همچنین حذف windows security essentials و برنامههای مستقل ضد باج افزار(امنیتی) Malwarebytes را دارد.
Clop نوعی از باجافزار CryptoMix است که از پسوند Clop استفاده میکند و یادداشتهای باجخواهی خود را در قالب یک فایل ClopReadMe.txt با پیام " Don’t Worry C|oP" امضا میکند. به همین دلیل این باجافزار به Clop Ransomware معروف شده است.
تلاش برای غیرفعال کردن Windows Defender
طبق تجزیه و تحلیل انجام شده توسط محقق امنیتی و مهندس معکوس ویتالی کرمز (Vitali Kremez) برنامه کوچکی توسط عاملان Clop قبل از رمزنگاری درحال اجرا است که سعی در غیرفعال کردن انواع نرمافزارهای امنیتی از جمله windows defender را خواهد داشت.
این کار برای جلوگیری از شناسایی الگوریتمهای رفتاری برای رمزنگاری پرونده و مسدود کردن باج افزار انجام میشود.
برای غیرفعال سازی windows defender، این باجافزار مقادیر مختلف registry شامل:
Behavior monitoring
Real time protection
Sample uploading to Microsoft
Tamper protection
Cloud detections
Antispyware detections
برای دریافت متن کامل کلیک نمایید
