برخی منابع خبر دادهاند مهاجمان با هک سرورهای آسیبپذیر MS Exchange اقدام به نفوذ به آنها و در ادامه توزیع باجافزار جدیدی با نام DearCry میکنند.
به گزارش مرکز مدیریت راهبردی افتا به نقل از مایکروسافت٬ آسیبپذیریهای بکار گرفته شده در جریان این حملات، ProxyLogon است که ۱۲ اسفند مایکروسافت (Microsoft, Corp) اقدام به عرضه اصلاحیههای اضطراری برای ترمیم آنها کرده بود.
جمعه، ۲۲ اسفند مایکروسافت نیز اجرای حملات باجافزاری بر ضد سرورهای آسیبپذیر Exchange را تایید کرد.
بر طبق گزارشی که سایت Bleeping Computer آن را منتشر کرده DearCry پس از رمزگذاری فایل اقدام به الصاق پسوند CRYPT به آن میکند.
در فرایند رمزگذاری DearCry از الگوریتمهای AES-۲۵۶ و RSA-۲۰۴۸ استفاده میشود. همچنین رشته DEARCRY! نیز به ابتدای هر فایل رمز شده افزوده میشود.
نام فایل اطلاعیه باجگیری (Ransom Note) این باجافزار readme.txt گزارش شده است. در فایل مذکور از قربانی خواسته میشود تا درهمساز درج شده در فایل را به مهاجم ارسال کند. به نظر میرسد که کد درج شده درهمساز MD۴ کلید عمومی RSA قربانی است.
گفته میشود مبلغ اخاذی شده از یکی از قربانیان ۱۶ هزار دلار بوده است.
انتظار میرود که بهرهگیری از آسیبپذیریهای ProxyLogon در MS Exchange مورد توجه مهاجمان بیشتری قرار گیرد. لذا توجه به نکات اشاره شده در اطلاعیههای زیر به منظور ایمن ساختن سرورهای MS Exchange به تمامی سازمانها توصیه میشود:
https://afta.gov.ir/portal/home/?news/۲۳۵۰۴۶/۲۳۷۲۶۶/۲۴۲۹۷۱/
https://afta.gov.ir/portal/home/?news/۲۳۵۰۴۶/۲۳۷۲۶۷/۲۴۲۹۷۹/
https://afta.gov.ir/portal/home/?news/۲۳۵۰۴۶/۲۳۷۲۶۶/۲۴۳۰۲۲/
(با تشکر از شرکت مهندسی شبکه گستر برای تهیه این گزارش)
دیدگاه شما