1. صفحه نخست
  2. اخبار امنیت اطلاعات
  3. حمله‌ی باج‌افزار جدید DearCry به کلاینت‌های پچ‌نشده‌ی Exchange

وبلاگ بیت دیفندر

اخبار ، دیدگاه ها و نگرش کارشناسان بیت دیفندر

حمله‌ی باج‌افزار جدید DearCry به کلاینت‌های پچ‌نشده‌ی Exchange

در گروهاخبار امنیت اطلاعات، ۱۳۹۹/۱۲/۲۴

بر اساس گزارشات، به دنبال ماجرای نواقص ProxyLogon Exchange Server عاملین باج‌افزار فعالانه در حال هدف قرار دادنِ نمونه‌های پچ‌نشده‌ی Exchange هستند. فیلیپ میسنر، مدیر برنامه امنیتیِ مایکروسافت همین اواخر توییتی را نشر کرد مبنی بر اینکه خانواده جدید باج‌افزار در حال نفوذ به آسیب‌پذیری‌های Exchange (که به تازگی افشا شده‌اند) است. میسنر اینطور می‌نویسد، «مایکروسافت خانواده جدیدی از حمله باج‌افزار (که عاملین انسانی پشتش بودند) به مشتریان را مشاهده کرده است که باج‌افزارRansom:Win32/DoejoCrypt.A نام دارد. حملات باج‌افزاری به مدیریت نیروی انسانی هم‌اکنون در حال استفاده از آسیب‌پذیری‌های Microsoft Exchange برای اکسپلویت مشتریان هستند». اکانت اطلاعات امنیت مایکروسافت نیز چنین توئیت کرد: «ما این خانواده جدید را که اکنون دارد بعد از دستکاری اولیه‌ی سرورهای (تحت وب) پچ‌نشده‌ی Exchange مورد استفاده قرار می‌گیرد شناسایی و اکنون مسدودش کرده‌ایم». باج‌افزار جدید با لقب DearCry سرورهای Exchange کشورهای آمریکا، کانادا و استرالیا را آلوده کرده است. نتایج اسکن یک شرکت غیرانتفاعی هلندی اینطور نشان می‌دهد که 46 هزار عدد از کل 250 هزار سرور Exchange از تاریخ 9 مارس هنوز هم پچ‌نشده باقی ماندند و در معرض حملات قرار دارند. در پی حملات گزارش‌شده، آژانس امنیت زیرساخت و امنیت سایبری آمریکا (CISA) و سازمان FBI این هفته مشترکاً از سازمان‌ها خواهش کردند نسبت به تخفیف آسیب‌پذیری‌های اخیر اقداماتی انجام دهند. بعد از این اقدام، اثبات مفهومی (PoC) نیز برای اکسپلویت نواقص مذکور منتشر شد. مایکروسافت PoC را با نارضایتی برخی محققین از GitHub برداشتند؛ محققینی که اظهار داشتند این کار می‌تواند حتی روند حملات بعدی را تسهیل نیز بکند. سخنرانی در مکاتبه‌ی ایمیل با معاون خبرنگاران چنین گفت، «ما درک می‌کنیم که نشر و توزیع اثبات مفهوم کد اکسپلویت برای جامعه‌ی امنیتی ارزش پژوهشی و آموزشی مضاعف دارد و هدف ما برقراری نوعی تعادل است بین این مزیت و امن نگه داشتن چنین اکوسیستمِ گسترده‌ای. ما طبق خط‌مشی‌های استفاده صحیح[1] اما در پی شنیدن اخبارِ ماجرای دربرداشتن کد اثبات مفهوم برای آسیب‌پذیریِ اخیراً فاش شده که فعالانه نیز در حال اکسپلویت شدن است- آن را غیرفعال کردیم». CISA توصیه می‌کند سازمان‌ها سیستم‌های خود را برای تاکتیک‌ها، تکنیک‌ها و روندهای سندپردازی نواقص بررسی کنند.

[1] Acceptable Use Policies، سیاستی که توسط مالک یک سیستم کامپیوتری یا به وسیله تامین کننده خدمات اینترنت پایه گذاری شده است.