حمله‌ی باج‌افزاری علیه وزارت انرژی اوکراین با بهره‌برداری از آسیب‌پذیری Drupalgeddon2

 

وزارت انرژی اوکراین تحت تأثیر یک حمله ی باج افزاری قرار گرفته و به نظر می رسد که این کار توسط افرادی با سطح مهارت های پایین و نه مهاجمان تحت حمایت دولت که به دنبال اهداف سیاسی هستند، صورت گرفته است. مهاجمان در این حمله از آسب پذیری موجود در هسته ی دروپال که اخیرا وصله شده بود، استفاده کرده اند. این موضوع نشان می دهد که مدیریت وصله یک اولویت امنیتی بسیار مهم برای سازمان های زیرساختی دولتی و حیاتی است.


در سال‌های اخیر، مهاجمان شبکه‌های دولتی و زیرساخت‌های حیاتی اوکراین را بارها و بارها مورد هدف قرار داده‌اند. بیشتر محققان، راه‌اندازی این حملات را به عوامل بدافزارهای Bad Rabbit و Petya/ExPetr و گروه‌های نفوذ ازجمله گروه BlackEnergy نسبت می‌دهند. با این حال، این حمله، ظاهرا با انگیزه‌های مالی راه‌اندازی شده است.


محققان بر این باورند که این رویداد دو جنبه دارد: اول، نفوذگری که قادر به تغییر ظاهر وب‌سایت است. سپس نفوذگر دوم، از دربِ پشتی نفوذگر اول برای رمزنگاری فایل‌های وب‌سایت استفاده می‌کند. در یادداشت باج که به زبان انگلیسی است، ۰٫۱ بیت‌کوین معادل با حدود ۹۲۸ دلار درخواست می‌شود. سخنگوی پلیس سایبری اوکراین، این خسارت را « isolated» نامید که به تغییر شکل و قفل شدن وب‌سایت وزرات‌خانه منجر شده است. او در گفتگو با رویترز اعلام کرد که این حمله، سایر سیستم‌های دولتی و یا شرکت‌های انرژی کشور را تحت تاثیر قرار نداده است.


محققان معتقدند از آنجایی‌که در حمله‌ی سایبری اخیر به وزارت انرژی اوکراین، نفوذگران مهارت‌های سطح بالایی ندارند، به‌نظر می‌رسد که عاملان آن به‌منظور پیشرفت برای حملات سایبری بزرگ‌تر، مهارت‌های جدید خود را آزمایش می‌کنند. همچنین برای پذیرش در یک گروه سایبری زیرزمینی، نیاز است که مهارت‌ها و توانایی‌های خود را به نمایش بگذارند. جالب توجه است که در این حمله از باج‌افزار استفاده می‌شود. اخیرا به لطف افزایش ارزش ارزهای مجازی، استخراج ارز مجازی توجه زیادی را به خود جلب کرده است.


در بازه‌ی زمانی آگوست ۲۰۱۷ تا ژانویه‌ی ۲۰۱۸ میلادی، حملات باج‌افزاری تنها با آلوده کردن یک دستگاه در هر ۱۰ هزار مورد سیر نزولی داشتند. در حملات باج‌افزار WannaCry، حدود ۷۲ هزار دلار به‌عنوان باج جمع‌آوری شد. به‌منظور حذف آسیب‌پذیری اترنال‌بلو و تقویت برنامه‌های پشتیبان‌گیری و بازیابی داده‌ها، با حملات باج‌افزارهای نات‌پتیا و WannaCry به روش وصله کردن سیستم‌های ویندوز مقابله شد. با این‌که حملات باج‌افزاری در سال ۲۰۱۷ سیر نزولی داشتند، اما شاهد افزایش استخراج ارز مجازی در حوزه‌های آموزشی، شرکت‌های فناوری و سازمان‌های بهداشتی هستیم.


آسیب‌پذیری Drupalgeddon2 که اواخر ماه مارس کشف و سپس وصله شد، یک نقص بسیار حیاتی اجرای کد از راه دور است که بسیاری از وب‌سایتهای دروپال را تحت تأثیر قرار می‌دهد. این اشکال درحال حاضر توسط نفوذگران و با استفاده از ابزارهای خودکار، ازجمله یک بات‌نت به نام Muhstik که اخیرا کشف شده است، مورد بهره‌برداری قرار می‌گیرد. دروپال این هفته اعلام کرد که این آسیب‌پذیری جدید را در ۲۵ آوریل وصله خواهد کرد. 


سازمان‌ها و به‌خصوص آن‌هایی که شبکه‌های حیاتی و استراتژیک را اجرا می‌کنند، باید بدانند که سیستم‌های مدیریت محتوا مانند دروپال، وردپرس و جوملا که به‌طور گسترده‌ای استفاده می‌شوند، هدف کلیدی بهره‌برداری‌های خودکار هستند. بنابراین آن‌ها باید اولویت اصلی گروه‌های امنیت اطلاعات باشند.
 

منبع

پست‌های مشابه

Leave a Comment

نوزده + یک =