به‌تازگی، کدهای برنامه‌نویسی Source Code باج‌افزار Babuk در یک تالار گفتگوی اینترنتی متعلق به هکرهای روسی زبان در دسترس قرار گرفته است. Babuk Locker که با نام Babyk نیز شناخته می‌شود، از ابتدای سال ۲۰۲۱ آغاز به کار کرده و گردانندگان آن سازمان‌های فعال در حوزه‌های مختلف را به‌منظور سرقت و رمزگذاری داده‌ها مورد هدف قرار می‌دهند.به گزارش مرکز مدیریت راهبردی افتا، پس از حمله به اداره پلیس واشنگتن، این مهاجمان ادعا کردند که فعالیت خود را متوقف کرده‌اند. با این‌حال، چند تن از اعضا از گروه جدا شده و با راه‌اندازی نسخه جدیدی از Babuk (معروف به Babuk V۲)، همچنان به اجرای حملات باج‌افزاری ادامه …

تقریباً یک ماه پس از افشای سناریوی گروه باج‌افزاری Conti توسط یکی از اعضای جداشده و ناراضی این گروه، محققان امنیتی سیسکو (Cisco Systems, Inc) نسخه ترجمه شده‌ای از آن را به اشتراک گذاشته‌اند. به گزارش مرکز مدیریت راهبردی افتا، در این سناریوی، ضمن پرداختن به روش‌های حمله، دستورالعمل‌های دقیق و مبسوطی ارائه شده که حتی به مهاجمان مبتدی اجازه می‌دهند تا به‌عنوان مشترک Conti RaaS اهداف ارزشمندی را مورد حمله قرار دهند.محققان امنیتی سیسکو با همکاری تعدادی زبان‌شناس، به بررسی مطالب نشت شده پرداخته که منجر به توصیف تکنیک‌ها و ابزارهای مهاجمان به طور دقیق شد.به نقل از محققان امنیتی، سناریوهای حمله توصیف شده …

بررسی‌ها از گرایش احتمالی مهاجمان سایبری در به‌کارگیری بدافزارهای قابل‌اجرا بر روی “واحد پردازش گرافیکی” (Graphic Processing Unit – به‌اختصار GPU) حکایت دارد. بااین‌حال این روش جدید نبوده و امکان‌پذیر بودن آن قبلاً نیز در مقالات آکادمیک مطرح شده بود.به گزارش مرکز مدیریت راهبردی افتا، در ۱۷ مرداد، نمونه اثبات‌گر (Proof-of-Concept – به‌اختصار PoC) این نوع از بدافزارها در یک تالار گفتگوی هکرها برای فروش قرار داده شد که به طور ضمنی گرایش مجرمان سایبری به سطح جدید و پیشرفته‌ای از حملات را نشان می‌‌دهد.در یک پست کوتاه در تالار گفتگوی مذکور، شخصی پیشنهاد فروش PoC را برای تکنیکی می‌دهد که در آن ادعا می‌شود …

LockFile باج‌افزار جدیدی است که به دنبال کشف آسیب‌پذیری‌های ProxyShell سرورهای Microsoft Exchange، در تیرماه منتشر شد. باج‌افزار LockFile از آسیب‌پذیری‌های ProxyShell برای نفوذ به اهداف بدون وصله در سرورهای Microsoft Exchange استفاده می‌کند و سپس حمله PetitPotam NTLM برای در اختیار گرفتن کنترل دامنه انجام می‌شود.مرکز مدیریت راهبردی افتا با همکاری شرکت مهندسی شبکه گستر، در گزارشی به بررسی و تحلیل باج‌افزار LockFile در سطوح مختلف پرداخته است.  فایل pdf این گزارش از اینجا قابل دانلود است.

به تازگی جزئیات فنی آسیب‌پذیری خطرناکی در Exchange  با نام ProxyToken منتشر شده است که سوءاستفاده از آن، دستیابی به ایمیل‌های حساب کاربری سازمان را بدون احراز هویت امکان‌پذیر می‌سازد.به گزارش مرکز مدیریت راهبردی افتا، مهاجم می‌تواند با ارسال درخواستی به سرویس‌های وب موجود از طریق Exchange Control Panel  به‌اختصار ECP اقدام به سوء‌استفاده از این آسیب‌پذیری کرده و پیام‌های موجود در صندوق دریافتی (Inbox) کاربران را سرقت کند.ProxyToken که با شناسه CVE-۲۰۲۱-۳۳۷۶۶ شناخته می‌شود، بدون احراز هویت، امکان دسترسی به تنظیمات پیکربندی صندوق‌های پستی کاربران را برای مهاجم فراهم می‌کند. جایی که می‌تواند قواعد Email Forwarding را نیز تعریف کند و در جریان آن …

خلاصه    باج افزار Hive برای اولین بار در ژوئن ۲۰۲۱ مشاهده شد که انواع مختلفی از تاکتیک ها، تکنیک ها و روش ها (TTPs) را به کار می گیرد و چالش های مهمی را برای دفاع و کاهش ایجاد می کند. باج افزار Hive از مکانیسم های متعددی برای به خطر انداختن شبکه های تجاری استفاده می کند، از جمله ایمیل های فیشینگ با پیوست های مخرب برای دسترسی و Remote Desktop Protocol (RDP) برای حرکت در شبکه.به گزارش مرکز مدیریت راهبردی افتا، پس از به خطر انداختن شبکه قربانی، مهاجمان باج افزار Hive داده ها را استخراج و فایل های موجود در شبکه را …

به گزارش مرکز مدیریت راهبردی افتا، در مرداد ۱۴۰۰، مایکروسافت، سیسکو، مک‌آفی، وی‌ام‌ور، سیتریکس، اس‌آپ و دروپال اقدام به عرضه به‌روزرسانی و توصیه‌نامه امنیتی برای برخی محصولات خود کردند. مـایـکـروسـافـت۱۹ مرداد، شرکت مایکروسافت (Microsoft Corp)، مجموعه اصلاحیه‌های امنیتی ماهانه خود را برای ماه میلادی آگوست منتشر کرد. اصلاحیه‌های مذکور در مجموع ۴۴ آسیب‌پذیری را در Windows و محصولات مختلف این شرکت را ترمیم می‌کنند که ۳ مورد از نوع “روز – صفر” می‌باشد. از مجموع ۴۴ آسیب‌پذیری ترمیم شده مایکروسافت، درجه اهمیت ۷ مورد “حیاتی” (Critical) و ۳۷ مورد “مهم” (Important) اعلام شده است.۱۷ مورد از آسیب‌پذیری‌های ترمیم شده از نوع “افزایش سطح دسترسی” (Elevation …

یک گروه باج‌افزاری جدید به نام LockFile، با سوءاستفاده از ضعف‌های امنیتی ProxyShell،  به سرورهای آسیب‌پذیر Exchange و رمزگذاری دستگاه‌های Windows در سطح دامنه اقدام می‌کنند.به گزارش مرکز مدیریت راهبردی افتا، سوءاستفاده از این آسیب‌پذیری‌ها، مهاجم را قادر به اجرای کد از راه دور، بدون نیاز به هرگونه اصالت‌سنجی بر روی سرورهای Exchange می‌کند.جزئیات این سه آسیب‌پذیری توسط یک محقق امنیتی در جریان مسابقات هک  Pwn۲Own در آوریل ۲۰۲۱ افشا شد.ProxyShell عنوانی است که به مجموعه سه آسیب‌پذیری زیر اطلاق می‌شود:     CVE-۲۰۲۱-۳۴۴۷۳ که ضعفی از نوع “اجرای کد از راه دور” (Remote Code Execution – به‌اختصار RCE) است و در ۲۲ تیر ۱۴۰۰ توسط مایکروسافت …

قربانی‌های باج افزار DARKSIDE بطور عمده در بخش‌های مالی، حقوقی، تولید و کارخانجات، صنایع تکنولوژیک و خرده‌فروشی‌ها قرار دارند و بر اساس اطلاعات شرکت FireEye، تعداد قربانی‌های باج افزار رو به افزایش است.به گزارش مرکز مدیریت راهبردی افتا، باج‌افزار DARKSIDE به‌صورت RaaS عمل می‌کند که در آن منافع مالی بین گردانندگان تهدید و شرکا یا همکاران تقسیم می‌شود که دسترسی به سازمان‌های هدف را فراهم کرده یا باج‌افزار را در سازمان هدف مستقر می‌سازند.در تحلیل تهدید باج افزار DARKSIDE ، ضمن آشنایی شما با کمپین این باج افزار، درباره قربانی‌ها، سرویس RaaS باج‌افزار، همکاران و شرکای DARKSIDE و شناسنامه بدافزار اطلاعاتی در اختیار شما قرار …

به تازگی نوع جدیدی از باج افزار eCh۰raix کشف شده است که به طور خاص تجهیزات Network Attached Storage  – به اختصار– NAS  ساخت شرکت های ساینالوژی و کیونپ را هدف قرار می دهد.به گزارش مرکز مدیریت راهبردی افتا، نخستین نسخه از باج افزار eCh۰raix (که با نام QNAPCrypt نیز شناخته می شود) در ژوئن سال ۲۰۱۶ منتشر شد. این باج افزار چندین بار در مقیاس گسترده در ژوئن ۲۰۱۹ و ژوئن ۲۰۲۰ تجهیزات NAS شرکت کیونپ را هدف حملات قرار داده است.باج افزار eCh۰raix، در سال ۲۰۱۹ نیز به تجهیزات NAS شرکت ساینالوژی، حمله کرده بود.  در گزارشی که محققان آنومالی در لینک زیر منتشر …