آسیب پذیری در Microsoft Exchange Server ، باج افزار در بهار سال 2021 منجر به حملات سایبری می شود


تیم سیسکو تالوس گفت که 35٪ از حوادث منجر به آسیب پذیری Microsoft Exchange Server در اوایل سال 2021 گزارش شده است ، اما خانواده های جدید باج افزار برای پر کردن سوراخ Emotet در حال ظهور هستند.

Rawpixel ، گتی ایماژ / iStockphoto

گروه اطلاعاتی Talos سیسکو گزارش خود را در مورد روند واکنش به حوادث در بهار 2021 منتشر کرد و دریافت که آسیب پذیری های Microsoft Exchange Server ، گزارش شده در اوایل سال 2021 ، بیشترین حوادث شناسایی شده در سه ماه گذشته است.

تالوس گفت که چهار آسیب پذیری Exchange Server ، که اکنون برطرف شده اند ، 35٪ از کل تحقیقات حادثه را تشکیل می دهند. “وقتی اخیراً یک آسیب پذیری کشف شد ، جدی و گسترده است ، [we] در تعهدات مربوط به آسیب پذیری های مورد بحث اغلب متناظر افزایش می یابد. ”

علاوه بر حملات گسترده Exchange Server ، Talos اظهار داشت كه با وجود بارگیری بات نت از Emotet در ژانویه ، كه اغلب برای راه اندازی حملات باج افزار به عنوان سرویس مورد استفاده قرار می گیرد ، تهدیدی “ثابت و رو به رشد” از باج افزار است.

نگاه کنید: سیاست پاسخگویی به حوادث امنیتی (حق بیمه TechRepublic)

به گفته تالوس ، تمام خانواده های باج افزار MountLocker ، Zeppelin و Avaddon در بهار 2021 تازه افتتاح شدند و همه آنها از مدل باج افزار به عنوان سرویس مورد استفاده Emotet استفاده می کنند. به طور خلاصه ، تهدید باج افزارهایی که به راحتی قابل اجرا و دسترسی سریع هستند از بین نمی رود.

لیست صنایع لباسشویی بر روی باج افزار متمرکز شده است ، اما بخش بهداشت در بهار با تقریباً چهار برابر بیشتر از هدفمندترین ، آموزش و فناوری بعدی در بهار پیشتاز است. تالوس گفت ، این روند همچنان رقت انگیز است که در سه ماهه قبلی سال 2021 مشاهده شده است ، و نشان می دهد كه مجرمان اینترنتی همچنان بر روی مراقبت های بهداشتی تمرکز می كنند ، زیرا همه گیری COVID-19 برای بازگرداندن خدمات در اسرع وقت ضروری است. به این ترتیب شانس بازپرداخت سازمان بهداشت و درمان افزایش می یابد .

تالوس گفت که بیشتر انرژی آن در کار بر روی آسیب پذیری های Microsoft Exchange Server است ، اما همچنین گفت که بیشتر آنها منجر به تلاش برای اسکن و درخواست های HTTP POST بدون هیچ گونه مدرکی پس از بهره برداری شده است.

تالوس گفت ، دلیل عدم حملات موفقیت آمیز ، ماهیت یکی از سو explo استفاده ها است که به مهاجم نیاز دارد تا از حساب مدیر معتبری برای استفاده از سو explo استفاده استفاده کند و در بیشتر موارد آدرس های امتحان شده معتبر نیستند.

در صورت لزوم ، شواهدی از فعالیت احتمالی پس از عملیات ، از جمله ایجاد و نوشتن پوسته های وب ، استفاده از برنامه های کمکی مانند ProcDump مربوط به جمع آوری احتمالی اعتبارنامه ها و فشرده سازی و بایگانی داده ها با برنامه های کاربردی. مانند MakeCab (makecab .exe) یا WinRAR برای آمادگی در برابر احتراق بالقوه ، “تالوس گفت.

سطح پایین فعالیت پس از عملیات باعث شد تا تالوس به این نتیجه برسد که مهاجمان در تلاشند تا سریع و بی رویه به تعداد زیادی از شبکه ها قبل از وصله سرورهای آسیب پذیر Exchange دسترسی پیدا کنند.

نگاه کنید: نحوه مدیریت رمزهای عبور: بهترین روش ها و نکات امنیتی (PDF رایگان) (TechRepublic)

سازمان هایی که دارای سرورهای Microsoft Exchange هستند باید چندین مرحله برای محافظت از خود در برابر سو these استفاده از این آسیب پذیری ها انجام دهند ، از جمله نصب سریع برای رفع این چهار مورد. همچنین مهم نیست که از نامهای مدیر پیش فرض در حسابهای مدیر استفاده نکنید ، زیرا حدس زدن آنها برای اهداف بهره برداری آسان است.

Talos همچنین به شما پیشنهاد می کند که تمام گزارش های Exchange Server را نگه دارید. بیشتر موارد به دلیل عدم ثبت کافی از بردارهای اولیه ناشناخته استفاده می کردند.

همچنین ببینید

Author: morteza

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *