باج‌افزار کرینگ و حمله سایبری به سازمان‌های صنعتی

باج‌افزار کرینگ و حمله سایبری به سازمان‌های صنعتی
تاریخ انتشار : ۱۲ آبان ۱۴۰۰

گروه باج‌افزار Cring در اوایل سال ۲۰۲۱ شروع به فعالیت كرد.

به گزارش گرداب - متخصصان امنیت سایبری بر این باور هستند که که این گروه باج‌افزاری از آسیب‌پذیری‌های موجود در سیستم سوءاستفاده می‌کند به گفته کارشناسان در یکی از حملات اخیر، این باج‌افزار از آسیب‌پذیری موجود در یک فیلترشکن، برای هدف قرار دادن برنامه‌های قدیمی مایکروسافت و ادوبی استفاده کرده است. برنامه‌های قدیمی که دیگر پشتیبانی نمی‌شوند، اهداف آسان‌تری برای مجرمان سایبری هستند.

شرکت امنیت شبکه سوفوس در سپتامبر ۲۰۲۱، گزارشی درباره یکی از حملات سایبری منتشر کرد. در این حمله، باج‌افزار Cring با استفاده از یکی از آسیب‌پذیری‌های موجود در برنامه Adobe ColdFusion ۹ توانسته بود تا کنترل سرور ColdFusion را به دست بگیرد.

این شرکت هم‌چنین اعلام کرد که هکر‌هایی از بلاروس و اوکراین از این باج‌افزار استفاده کرده‌اند تا از راه دور، به سرور‌های یک شرکت ناشناس در بخش خدمات نفوذ کنند.

هکر‌ها از ابزار‌های خودکار برای بررسی نه هزار مسیر در سیستم‌های شرکت طی ۷۵ ثانیه استفاده کرده‌اند. سه دقیقه بعد، آن‌ها قادر به استفاده از یکی از آسیب‌پذیری‌های موجود در نسخه قدیمی برنامه Adobe بودند و از این طریق توانستند تا به فایل‌هایی در سرور دسترسی پیدا کنند که دور از دسترس عموم قرار داشتند.

آن‌ها فایلی به نام جزئیات رمزعبور را انتخاب کرده و با استفاده از کد‌های مخدوش، ردپای خود را پوشانده‌اند. بعد از دو روز و نیم، به شبکه سیستم به عنوان ادمین متصل شده و کنترل آن را در دست گرفته‌اند. در آخر نیز یک یادداشت مبنی بر باج‌گیری پست کرده‌اند.

باج‌افزار کرینگ و حمله سایبری به سازمان‌های صنعتی

هکر‌ها هم‌چنین توانستند قبل از نفوذ به سرور اینترنتی در عرض چند دقیقه و اجرای باج‌افزار بعد از ۷۹ ساعت، به جدول‌های زمانی و داده‌های حسابداری مربوط به حقوق و دستمزد دسترسی پیدا کنند. اندرو برانت، محقق در شرکت Sophos، می‌گوید که استفاده از باج‌افزار Cring چیز جدیدی نیست، اما در حد اندکی مورد استفاده قرار می‌گیرد.

او می‌گوید: «در این حمله‌ای که ما تحقیق کردیم، شرکت قربانی یکی از شرکت‌های خدماتی بود. این شرکت دستگاهی با نرم‌افزاری قدیمی و پچ نشده داشته که به اینترنت هم متصل بوده است. نکته جالب اینجاست که از این سرور هر روز استفاده می‌شده و فعال بوده است.

در حالی که معمولا آسیب پذیرترین دستگاه‌ها غیرفعال می‌شوند. اما در هر حال، چه دستگاه فعال باشد و چه غیرفعال، دستگاه‌ها و سرور‌های پچ نشده که به اینترنت متصل هستند هدف اصلی مهاجمان سایبری هستند تا از این طریق به سیستم‌های شرکت نفوذ کنند. سازمان‌هایی که چنین دستگاه‌هایی در شبکه‌های خود دارند مطمئن باشند که هدف حمله سایبری قرار خواهند گرفت».

در حمله سایبری‌ای که سوفوس بررسی کرده بود، هکر‌ها وب‌سایت قربانیان را با ابزار‌های خودکار اسکن کرده بودند و به محض پیدا کردن سرور پچ نشده ColdFusion، به راحتی به آن دسترسی پیدا کردند. محققان سوفوس می‌گویند که اپراتور‌های Cring از تکنیک‌های نسبتا پیچیده‌ای برای پنهان کردن فایل‌های خود، اجرای کد در حافظه و مخفی کردن ردپای خود با بازنویسی فایل‌ها با داده‌های مخدوش یا حذف گزارش‌ها استفاده کرده‌اند تا کسی نتواند آن‌ها را شناسایی کند.

آن‌ها بعد از دور زدن بخش‌های امنیتی، یادداشتی با مضمون «در صورتی که معامله خوب پیش نرفت، داده‌ها را افشا خواهیم کرد» به جا گذاشتند.
رئیس شرکت تشخیص بدافزار Positive Technologies، الکسی ویشنیاکوف، می‌گوید که این گروه از بدافزار Mimikatz برای نفوذ به یک سازمان استفاده می‌کند و با نرم‌افزار Cobalt Strike آن را در شبکه میزبان ایمن‌سازی می‌کند.

بعد از به دست گرفتن کنترل کامل شبکه، باج‌افزار را دانلود و توزیع می‌کند. او در ادامه می‌گوید خطرناک‌تر از همه، یک سری اقدامات نفوذ به سیستم است که موفقیت‌آمیز بوده‌اند. نفوذ به سیستم نه تنها خطرات مربوط به باج‌گیری و عواقب مالی دارد، بلکه چنین حملاتی می‌تواند منجر به حوادث ناگوار و حتی مرگ شود.

منبع:
ZDNet