همه چیز در رابطه با باج افزار جدید CRYSIS

#امنیت ؛ در این مقاله به معرفی و بررسی باج افزار جدید  CRYSIS  می پردازیم . با ما همراه باشید : 

 

محققان امنیتی ترندمیکرو هشدار دادند باج‌افزار CRYSIS که سال قبل کشف شد، توسط پروتکل رومیزی راه دور۱ (RDPP) و حملات جستجوی فراگیر۲ توزیع می‌شود.

 

در شهریور ماه سال جاری، محققان امنیتی بدافزار جدیدی را مشاهده کردند که از طریق حملات جستجوی فراگیر و پروتکل رومیزی راه دور توزیع می‌شود  و شرکت‌های تجاری در استرالیا و نیوزیلند را هدف قرار داده است. اخیراً و تقریباً شش ماه بعد، همان روش برای هدف قرار دادن سازمان‌های مختلف در سراسر جهان مورد استفاده قرار می‌گیرد.

 

علاوه بر این، تعداد حملات در دی ماه، نسبت به ماه‌های قبل دو برابر شده است. ترندمیکرو گزارش داده بسیاری از این حملات بخش‌های سلامت و بهداشت را در آمریکا هدف قرار داده است. محققان امنیتی می‌گویند: «ما معتقدیم که همان گروه نفوذ قبلی، سری جدید حملات را انجام داده‌اند. نام پرونده‌هایی که در این حملات مورد استفاده قرار گرفته با هر منطقه‌ای سازگار است. سایر بخش‌های این حمله نیز با حمله‌ی قبلی مطابقت دارد.»

 

باج افزار جدید   همه چیز در رابطه با باج افزار جدید CRYSIS 107 1
پس از بررسی حمله‌ی RDP، محققان امنیتی کشف کردند که یک پوشه‌ی اشتراکی بر روی یک رایانه‌ی راه دور برای انتقال بدافزار از ماشین مهاجم به ماشین قربانیان استفاده می‌شود. این شیوه‌ی توزیع بدافزار، منابع موجود بر روی ماشین قربانی را بر روی ماشین‌های آلوده در معرض خطر قرار می‌دهد. برعکس این سناریو نیز صادق است.

 

بر روی سامانه‌های انتهایی که از طریق اینترنت قابل دسترسی هستند، هیچ محدودیتی در بر روی پروتکل RDP در تنظیمات اعمال نشده است. مهاجمان سامانه‌های جدیدی را هدف حملات جستجوی فراگیر قرار می‌دهند که از نام کاربری و گذرواژه‌های پیش‌فرض استفاده می‌کنند. پس از اینکه با حمله‌ی جستجوی فراگیر دسترسی به ماشین هدف مهیا شد، مهاجم می‌تواند در بازه‌ی زمانی کوتاهی چندین بار به این سامانه مراجعه کرده و آن را با باج‌افزار آلوده کند.

 

بر روی سامانه‌ی انتهایی که مورد آزمایش قرار گرفته بود، باج‌افزار CRYSIS شش بار در بازه‌ی ۱۰ دقیقه‌ای در سامانه قرار داده شد. محققان امنیتی می‌گویند این نمونه‌های نصب‌شده بر روی سامانه‌ی قربانی، در بازه‌های زمانی متفاوتی در یک ماه گذشته، همزمان با آغاز این پویش، توسعه داده شده‌اند. به‌نظر می‌رسد مهاجمان چندین پرونده در اختیار داشته‌اند و با ترکیب بار داده‌های مختلف تلاش می‌کردند باج‌افزاری با بهترین عملکرد را توزیع کنند.

 

به سازمان‌هایی که هدف این حملات قرار گرفته‌اند توصیه می‌شود تنظیمات مناسبی را بر روی پروتکل RDP اعمال کنند تا دسترسی به منابع و دستگاه‌های اشتراکی محدود شود. مدیران سامانه‌ها باید آدرس‌های IP متخلف را شناسایی کرده و رکوردهای ثبت‌شده توسط نمایشگر رویداد را مورد بررسی قرار داده و آدرس IP مهاجم را بدست آورند.

 

 

 مقالات مرتبط :
باج افزار جدید Locky
بدافزارهای چینی سامانه‌های کشور روسیه را هدف قرار داده‌اند

 

پیمان قربانزاده
پیمان قربانزاده
با سلام . پیمان قربانزاده هستم . مدیر سایت پویا سیستم . من و تمام مجموعه پویا سیستم خوشحال می شویم که به شما در زمینه مشکلات نرم افزاری که دارید . کمک کنیم . پس با ما در ارتباط باشید .

سیستم نظردهی برای این مطلب توسط مدیریت بسته شده است.