نوشته‌ها

افزایش حجم حملات بدافزاری در سال 2018

شرکت Panda Security اعلام کرد در 9 ماهه ی اول سال  2017 ، 75 میلیون بدافزار جدید کشف شده است. این شرکت هشدار داد حمله هایی که از ابزار های غیر مخرب سوء استفاده میکنند تا سال 2018 افزایش خواهند یافت.

این شرکت در گزارش سالیانه ی خود اذعان کرد هر روز حدود 285 هزار نمونه بدافزار جدید تا تاریخ 20 سپتامبر سال جاری شناسایی کرده است.

در این میان 4 گزارش مرتبط با باج افزار WannaCry و 2 گزارش هم مرتبط با نرم افزار Ccleaner(ابزار محبوب بهبود کارایی) وجود دارد. بیش از 99 درصد بدافزار هایی که Panda تشخیص داد تنها یک بار رویت شدند این بدان معناست که طراحان ان ها کد خود را پس از هر حمله تغییر می دهند.

این کمپانی در باره ی افزایش حملاتی که از ابزار های غیر مخرب سوء استفاده می کنند هشدار داد. از جمله ابزار هایی که مورد سوء استفاده قرار می گیرند ابزار های مورد استفاده های ادمین های شبکه است.

Luis Corronsمدیر فنی PandaLab به Infosecurity گفت: ابزار هایی مانند Microsoft’s PowerShell که دسترسی و قدرت زیادی را داراست و در هک از آن فراوان استفاده می شود. برای مثال در هفته های گذشته یک حمله ی اتوماتیک را کشف کردیم که از ترکیبی از تکنیک ها شامل  fileless attack ، PowerShell استفاده می کرد و هدف آن اجرای  Monero miner در کامپیوترهای در معرض خطر بود.

در این گزارش سالیانه بیان شد که این تکنیک های جدید هک تیم های امنیتی را ملزم میسازد تا باهوش تر عمل کنند و از این رو بتوانند تهدیدات سایبری در سال آینده را تشخیص داده و با آن ها مقابله کنند.

این گزارش همچنین در مورد سایر تهدیداتی که در سال 2018 پیش خواهد آمد نظیر تهدیدات موبایل و IoT ,  باج افزار، cyber-propaganda، و حملات در حال افزایش پیچیده ی سایبری با مهاجمینی که به دنبال مخفی کردن رد پای خود با پرچم گذاری غلط هستند اشاره کرد.

 

منبع:

https://www.infosecurity-magazine.com/news/beware-malwarefree-attacks-in-2018/

کره شمالی متهم به سرقت طرح کشتی های جنگی کره جنوبی شد

به گفته یکی از نمایندگان مجلس کره جنوبی (کیانگ) ، کره شمالی احتمالا شرکت کشتی سازی Daewoo را هک کرده و تعداد قابل توجهی از طرح های کشتی های جنگی آن را برداشته است.

کیانگ به رویترز گفت که “ما 100 درصد مطمئن هستیم که هکرهای کره شمالی پشت این هک هستند” وی افزود اسناد نظامی طبقه بندی شده که توسط مهاجمان ربوده شده است، شامل طرح های ساخت کشتی و زیردریایی کلاس Aegis است.

او گفت که وزارت دفاع کره جنوبی این حادثه را کشف کرد. بخش جرائم سایبری رد پای کره شمالی را در همه ی قسمت های این سرقت پیدا کرده است، که با استفاده از روش های بسیار دقیق و مورد اعتماد اثبات شده است.

همچنین، کشتی سازی Daewoo این حمله سایبری (هک) را تایید کرد. در ماه اکتبر، گزارش ها نشان داد کره شمالی قصد دارد شبکه برق رسانی آمریکا را توسط یک حمله فیشینگ هک کند. آن ها ایمیل هایی را ارسال میکردند که حاوی بد افزاری در قالب دعوتنامه های جعلی در فایل پیوست بود و وظیفه ی جمع آوری اطلاعات را برعهده داشت. با این حال، این حمله در نهایت ناموفق بود و هیچ خرابی ای بر جای نگذاشت.

همچنین در ماه اکتبر یک نماینده مجلس کره جنوبی اظهار داشت که هکرهای کره شمالی برخی از اسناد نظامی کره جنوبی را در سال گذشته ربوده اند، این اسناد شامل برنامه ای برای ترور کیم جونگ اون، برنامه ریزی های جنگی با هکاری ایالات متحده، برنامه های نیروهای ویژه کره جنوبی و اطلاعات مربوط به نیروگاه های مهم و امکانات نظامی است.

در همین حال، مقامات بریتانیایی هفته گذشته اعلام کردند که کره شمالی مسئول حمله باج افزار WannaCry است که در ماه مه صدها هزار قربانی(از جمله بیش از یک سوم سیستم سلامت همگانی در انگلستان) گرفت.

 

منبع:

https://www.infosecurity-magazine.com/news/north-korea-stealing-warship/

 

جلوگیری از باج افزار ها در آپدیت جدید ویندوز !

مایکروسافت ادعا می کند که آخرین نسخه ویندوز 10، با نام Fall Creators Update امن ترین نسخه ی منتشر شده ی این سیستم عامل تاکنون است.

به گفته جان کیبل ، رئیس بخش مدیریت و برنامه ریزی مایکروسافت، اقدامات امنیتی جدیدی شامل حفاظت در مقابل باج افزار ها در ویندوز راه اندازی و ارائه می شود. این اقدامات در قالب نسخه جدیدی از Windows Defender است که به نام Windows Defender Exploit Guard عرضه می شود و برای جلوگیری از اجرای کد از راه دور طراحی شده است.

آنتی ویروس جدید Windows Defender دارای قابلیت های محافظتی جدیدی برای محافظت از سیستم در برابر بسیاری از انواع معمول باج افزار ها مانند Locky وCerber and Spora  وWannaCry  و  Petya است . دو نمونه از این بدافزارها محصولات مایکروسافت را نیز از طریق استفاده از کد مخرب EternalBlue هدف قرار می دادند .

این بروز رسانی هم اکنون برای اکثر کاربران به صورت خودکار قابل دانلود است.

منبع: https://www.scmagazine.com/microsoft-adds-ransomware-defense-with-new-windows-update/article/702494/

WannaCrypt: مروری اجمالی بر بزرگترین تهدید امنیت سایبری سال 2017

در ماه مه 2017 یک نرم افزار مخرب به نام WannaCrypt (یا WannaCry) به سیستم­های رایانه ای در سازمان های بزرگ و کسب و کارهای سراسر جهان نفوذ کرد. WannaCrypt، یک باج­افزار است و هنگامی که یک ماشین یا سیستم کامپیوتری را آلوده می­کند، تمام داده های روی آن ماشین­ ها را رمزگذاری می­کند.

هنگامی که فایل­ها رمزگذاری می­شوند، مالک ماشین یا سیستم کامپیوتری را مجبور می­کند که باج بدهند تا داده­ها را باز کند. پیشنهاد باج دارای محدودیت زمانی است و به کاربران یک شمارشگر معکوس را نشان می دهد. زیان اصلی این است که با سپری شدن زمان، قیمت باج افزایش می­یابد. هنگامی که شمارش معکوس به صفر رسید، WannaCrypt به طور خودکار اطلاعات کاربران را از بین می­برد.

پس از آن WannaCrypt توسط آژانس امنیت ملی کشف شد. اگرچه رشد و عملکرد WannaCrypt آهسته شده است، اما هنوز کاملاً از بین نرفته است. در تاریخ 21 اوت، ZDNet گزارش داد که الجی الکترونیک باج افزار WannaCrypt را در یک کیوسک در داکوتای جنوبی مشاهده کرده است. این شرکت تحت یک اقدام احتیاطی امنیتی، سیستم های کامپیوتری خود را به مدت دو روز به حالت آفلاین در آورد.

WannaCrypt بیش از 300،000 سیستم ویندوز در سراسر جهان را آلوده کرده است. این حمله یک هشدار برای همه کاربران بود تا در مورد امنیت سایبری دقت بیشتری داشته باشند. در مورد ایمیل هایی که باز می­کنید یا فایل­هایی که دانلود می­کنید، دقت بیشتری نمایید و از داده­هایتان Backup تهیه کنید تا در صورت نیاز، فایل­های خود را از ابتدا بازیابی کنید.

منبع: https://www.securemac.com/news/wannacrypt-overview-2017s-biggest-cybersecurity-threat

راهنمای امداد برای رایانه های آلوده شده به باج افزار WannaCry

باتوجه به آلوده شدن تعدادی از رایانه های کشور به باج افزار Wanna Cry و راهنماها و راه حل های منتشر شده در سایت های مختلف مبنی بر امکان بازیابی داده های رمز شده توسط باج افزار ها، مرکز ماهر ضمن انجام بررسی های فنی و دقیق در این زمینه به پیوست مستند فنی راهنمای امداد برای رایانه های آلوده شده به باج افزار Wanna Cry را ارایه می نماید.

آمادگی مرکز آپا جهت ارایه خدمات امداد و همیاری دستگاههای اجرایی استان قم

مدیران محترم دستگاههای اجرایی استان

همانگونه که مستحضرید، مرکز تخصصی آپا دانشگاه قم با مجوز رسمی از سازمان فناوری اطلاعات و ارتباطات ایران و مرکز ماهر و با بهره گیری از اساتید مجرب در حوزه امنیت فضاهای سایبری، مجازی و سامانه های اداری و سازمانی، جهت ارایه خدمات افتا، آگاهی ، پشتیبانی و امداد درخصوص مبانی و اصول امنیت فضاهای سایبری، مجازی، سرورهای مرکزی و … تأسیس و راه اندازی گردیده است.

با عنایت به حمله اخیر باج افزار WannaCrypt و متعاقب آن حملات وسیع به سرورهای مراکز حساس کشور که به نظر می رسد این حملات زمینه ساز حملاتی با دامنه بیشتر و مخربتر می­باشد، مرکز آپا دانشگاه قم وظیفه خود می داند که جهت ارایه خدمات امداد و همیاری دستگاههای اجرایی استان و نیاز به هرگونه اقدامی اعم از پیشگیری، آموزش کارشناسان و مدیران IT و امداد دستگاهها درصورت مواجهه با این حملات و تهدیدات، به صورت شبانه روزی، اعلام نموده و از کلیه دستگاههای اجرایی استان تقاضا دارد که در قدم اول نسبت به امنیت دیتا سنترها و شبکه های سازمانی و اداری خود اطمینان حاصل نموده و درصورت مواجهه با هرگونه بدافزار یا باج افزار یا هرگونه کد مشکوک، این مرکز را از طریق راههای زیر مطلع تا نسبت به امداد و کمک مورد نیاز قبل از هرگونه خسارت احتمالی و غیر قابل جبران، اقدام سریع به عمل آید.

مرکز تخصصی آپا

دانشگاه قم

راههای تماس  با کارشناسان مرکز آپای دانشگاه قم:

اطلاعات تماس با مرکز آپا

شماره تلفن های  02532103387 و  02532103388  در ساعات اداری و  09376320648 و 09030653015 به صورت 24 ساعته

وب سایت:               http://cert.qom.ac.ir               پست الکترونیک: apa@qom.ac.ir

دستورالعمل مقابله با باج‌گیر سایبری منتشر شد

 در روزهای اخیر باج افزاری تحت عنوان wannacrypt با قابلیت خود انتشاری در شبکه حدود ۱۰۰ کشور شیوع یافته و بیش از ۷۵ هزار سیستم کامپیوتری را آلوده کرده است. براساس رصدهای انجام شده توسط مرکز ماهر، این بدافزار در سطح شبکه کشور ما نیز مشاهده شده به نحوی که تا این لحظه بیش از ۵۰ اپراتور و سازمان، قربانی این باج افزار در کشور شده اند که بیشتر این آلودگی ها نیز در حوزه اپراتورهای ارتباطی و حوزه پزشکی، سلامت و دانشگاهها شناسایی شده است.

در این راستا تیم های امداد و نجات مرکز ماهر (مراکز آپا) مستقر در  استان های کشور در حال انجام اقدامات لازم جهت جلوگیری از انتشار باج افزار و کاهش خسارت ناشی از آن هستند.

این حمله سایبری با نام های مختلفی همچون WannaCry ، Wana Decrypt ، WannaCryptor و WCRY شناخته می شود و دسترسی قربانی به کامپیوتر و فایل ها را غیرممکن کرده و برای بازگرداندن دسترسی، باج خواهی می کند.

این باج افزار از یک آسیب پذیری در سرویس SMB سیستم عامل ویندوز استفاده می کند و اگرچه پیش از این، مایکروسافت این آسیب پذیری را رفع کرده بود اما کامپیوترهایی که ویندوزشان به روز نشده است، نسبت به حمله و آلودگی به این باج افزار، آسیب پذیرند.

این باج افزار در ۲ روز اولیه و از طریق حسابهای «بیت کوین» که قابل ردیابی نیست، پول زیادی دریافت کرده و گفته می شود بیش از ۲۸ پرداخت در این زمینه انجام شده است. به نحوی که در همان ساعت اولیه این حمله سایبری، ۹۰۰ دلار باج دریافت شده است.

گفته شده است که پخش این بدافزار باج گیر، از طریق استفاده از ایمیل های فیشینگ و لینک‌های آلوده در سایتهای غیرمعتبر صورت می گیرد.

حال با توجه به فعالیت این بدافزار باج گیر در کشور ما، برای پیشگیری از آلودگی به آن، باید اقدامات لازم صورت گیرد که شامل موارد زیر است:

۱. به روزرسانی سیستم عاملهای ویندوز

۲. تهیه کپی پشتیبان از اطلاعات مهم

۳. به روزرسانی آنتی ویروسها

۴. اطلاع رسانی به کاربران برای عدم اجرای فایلهای پیوست ایمیل های ناشناس

اقدامات پیشگیرانه

کاربران باید نسبت به نصب وصله MS۱۷-۰۱۰ به عنوان آخرین به روزرسانی سیستم عامل با استفاده از نصب ابزار «ویندوز آپدیت» اقدام کنند.

مایکروسافت به دلیل این مشکل، حتی در سیستم عامل های XP و ۲۰۰۳ که مدتی پشتیبانی خود را متوقف کرده بود، وصله امنیتی قرار داده است.

اگر امکان به روزرسانی سیستم عامل یا نصب وصله امنیتی وجود ندارد، باید دسترسی به سرویس SMB مسدود شود.

نحوه غیرفعالسازی SMB در ویندوزهای ۷ ، ۸ و ویستا و نیز ویندوز سرورهای ۲۰۰۸، ۲۰۰۸ R۲ و ۲۰۱۲ و بعد از آن از طریق پاورشل (POWERSHELL ) از طریق این لینک قابل دریافت است.

کاربران به عنوان راهکار جایگزین باید پورتهای ۴۴۵ و ۱۳۹ مربوط به پروتکل SMB را روی فایروال ویندوز ببندند.

مرکر ماهر وابسته به معاونت امنیت سازمان فناوری اطلاعات ایران از کلیه سازمانها و شرکت ها خواسته در صورت برخورد با آلودگی به باج افزار فوق، در اسرع وقت موارد را با شماره تلفن های ۲۲۱۱۵۹۵۰ و ۴۲۶۵۰۰۰ درمیان بگذارند و یا از طریق آدرس پست الکترونیکی cert@certcc.ir ارسال کنند.

منبع:
خبرگزاری مهر

شناسایی بیش از ۲۰۰ قربانی آلوده به باج افزار WannaCry در فضای سایبر کشور

در روزهای اخیر باج افزاری تحت عنوان wannacrypt با قابلیت خود انتشاری در شبکه کشور ها شیوع یافته است. براساس رصدهای انجام شده توسط مرکز ماهر، این بدافزار در سطح شبکه کشور ما نیز رصد شده است. تا کنون بیش از ۲۰۰ قربانی این باج افزار در کشور که بیشتر این آلودگی ها در حوزه پزشکی و سلامت شناسایی شده و اقدام جهت رفع آلودگی و پاکسازی آنها از سوی تیم های امداد و نجات مرکز ماهر (مراکز آپا) مستقر در استانهای کشور در دست انجام می باشد.

این گزارش حاکی است، این حمله را می‌توان بزرگترین حمله آلوده نمودن به باج‌افزار تاکنون نامید. این باج‌افزار به نام‌های مختلفی همچون WannaCry، Wana Decrypt0r، WannaCryptor و WCRY شناخته می‌شود. این باج‌افزار همانند دیگر باج‌افزار‌ها دسترسی قربانی به کامپیوتر و فایل‌ها را سلب کرده و برای بازگرداندن دسترسی درخواست باج می کند.

باج افزار جدیدی ویندوزهای سرور ۲۰۰۸ و ۲۰۱۲ و ویندوز های دسکتاپ را هدف گرفته است این باج افزار که از رخنه امنیتی (باگ) سرویس SMBV1 استفاده می کند و تاکنون هزاران سرور و دسکتاپ را آلوده کرده است. باج‌افزار‌ها گونه‌ای از بدافزارها هستند که دسترسی به سیستم را محدود می‌کنند و ایجادکننده آن برای برداشتن محدودیت درخواست باج می‌کند. برخی از انواع آنها روی فایل‌های هارددیسک رمزگذاری انجام می‌دهند و برخی دیگر ممکن است به سادگی سیستم را قفل کنند و پیام‌هایی روی نمایشگر نشان دهند که از کاربر می‌خواهد مبالغی را واریز کنند.

باتوجه به فعالیت این باج افزار در کشور ما، لازم است جهت پیشگیری از آلودگی به آن، مدیران شبکه نسبت به برورزرسانی سیستم‌های عامل ویندوز و تهیه کپی پشتیبان از اطلاعات مهم خود در اسرع وقت اقدام کنند.

آدرس دریافت پچ امنیتی

 روش مقابله با این باج افزار :

سرویس SMBv1 خود را به روش زیر غیرفعال کنید :

برای ویندوز سرور ۲۰۰۸ و ۲۰۱۲ – ویندوز دسکتاپ ویستا و هشت :

– به محیط ریموت دسکتاپ سرور خود با کاربر Administrator وارد شوید

– گزینه Power Shell را از جستجوی ویندوز پیدا کرده و بر روی آن کلیک راست کنید سپس گزینه Run as Administrator را بزنید

– در Power Shell دو کامند زیر را اجرا بفرمایید

Set-SmbServerConfiguration -EnableSMB1Protocol $false

Set-ItemProperty -Path “HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters” SMB1 -Type DWORD -Value 0 -Force

– بعد از اجرای کامندها سرور را ریستارت کنید.

برای ویندوزهای سرور ۲۰۱۲r2 و بالاتر :

– به محیط ریموت دسکتاپ سرور خود با کاربر Administrator وارد شوید

– به Server Manager رفته و بر روی منوی Manage کلیک کرده و گزینه Remove Roles and Features را باز کنید

– ازپنجره باز شده  SMB1.0/CIFS File Sharing Support تیک checkbox این سرویس را برداشته و OK را بزنید تا پنجره بسته شود

– سرور را ریستارت کنید

برای ویندوز دسکتاپ ۸.۱ و بالاتر :

– Control Panel ویندوز را باز کنید بر روی Programs کلیک کرده و گزینه Turn Windows Features on or off را کلیک کنید

– ازپنجره باز شده  SMB1.0/CIFS File Sharing Support تیک checkbox این سرویس را برداشته و OK را بزنید تا پنجره بسته شود

– ویندوز را ریستارت کنید

شدیدا توصیه می شود بعد از غیرفعال سازی سرویس  SMB  ویندوز را به آخرین نسخه به روز رسانی کرده و مجددا راه اندازی کنید.