طبق گزارش شرکت امنیتی Sophos : «مجموعه‌ای از حملات باج‌افزار در برابر شرکت‌های کوچک و متوسط از پروتکل (RDP) برای دسترسی به سامانه‌های آلوده استفاده می‌کنند.»
نفوذگران از یک آسیب‌پذیری معمول در بسیاری از شبکه‌های کسب و کار استفاده می‌کنند: «گذرواژه‌های ضعیف». مهاجمان پس از دسترسی به سامانه ها از طریق اين پروتکل مديريت راه دور و شکستن گذرواژه، به راحتی می‌توانند بدافزار خود را در سامانه‌های سازمان نصب کرده و درخواست مبلغی به عنوان باج كنند. طبق گفته شرکت Sophos : «با تجزیه و تحلیل بخشی از این حملات مشخص شد که مهاجمان با استفاده از ابزاري به نام NLBrute سعی می‌کنند با تست كردن گذرواژه‌های RDP مختلف، به سامانه‌ی هدف و قرباني دسترسی پیدا کنند. هنگامی که مهاجمان توانستند که گذرواژ‌ه‌ی درست را پیدا کنند، به سرعت به شبکه‌ نفوذ كرده و حساب‌های مدیریتي خود را ایجاد ‌کنند.»


شرکت Sophos توضیح می‌دهد: «کشف درگاه‌های RDP که در اینترنت افشاء شده‌اند، اصلا کار سختی نیست. مجرمان سایبری می‌توانند موتورهای جست‌وجوی اختصاصی مانند موتور کشف آسیب‌پذیریِ Shodan را برای این کار مورد استفاده قرار دهند و سپس از ابزارهای عمومی یا خصوصی برای دسترسی به سامانه‌های شناسایی‌شده بهره‌برداری کنند.»
حتی اگر كلمه ي عبور سامانه که مهاجمان برای اولین بار برای دسترسی به شبکه آن را مورد استفاده قرار داده اند، تغییر كند، آن‌ها می‌توانند دوباره به شبکه متصل شوند. محققين امنيتي می‌گویند: «مهاجمان در این حالت، دارای حساب‌های پشتیبان هستند که می‌توانند بعداً از آن‌ها استفاده کنند.» در مرحله‌ی بعد، مهاجمين برنامه‌های ضد بدافزار و آنتي ويروس را از كار انداخته و یا تنظیمات آنها را تغییر مي دهند، یک نرم‌افزار کم‌حجم مانند Process Hacker را بارگیری و نصب می‌کنند. آن‌ها  تلاش می‌کنند تا در طي فرايند استفاده از آسیب‌پذیری‌های شناخته‌شده از جمله آسیب‌پذیری‌های CVE-2017-0213 و  CVE-2016-0099 که مدت زیادی طول کشید تا توسط مایکروسافت وصله شوند، استفاده کنند. مهاجمان همچنین سرویس‌های پایگاه داده را از كار انداخته تا بدافزار آن‌ها، بتواند پایگاه داده‌ها را نیز هدف قرار دهد و سرویس پشتیبان زنده‌ی ویندوز به نام Volume Shadow Copy را خاموش کرده و پشتیبان‌های موجود را نیز پاک می‌کنند، تا قربانیان نتوانند بدون پرداخت باج پرونده‌های آسیب‌دیده را بازیابی کنند. بعد، آن‌ها باج‌افزار خود را بارگذاری و اجرا می‌کنند.
به گفته‌ی شرکت Sophos، این مهاجمان از قربانیان خود باجی به مبلغ ۱ بیت‌کوین (هر بیت‌کوین هم‌اکنون هشت هزار دلار قمیت دارد) درخواست کرده‌اند. با این‌که شرکت‌های زیادی تحت تاثیر این حملات قرار گرفته‌اند، کیف پول بیت‌کوین مهاجمان فقط یک تراکنش را نشان می‌دهد که با باج درخواستی تطابق دارد. محققان امنیتی می‌گویند: «یا قربانیان مبلغ درخواست شده را پرداخت نکرده‌اند و یا توانسته‌اند روی مبلغ کمتری با مهاجمان به توافق برسند.»
شرکت Sophos می‌گوید: «قربانیان این نوع حملات تقریباً همیشه شرکت‌های کوچک و متوسط هستند؛ در بررسی‌های ما بزرگ‌ترین کسب وکار دارای ۱۲۰ کارمند بود، اما بیشتر آن‌ها ۳۰ نفر و یا کمتر کارمند داشتند.»
به سازمان‌ها توصیه می‌شود برای این‌که در برابر این حملات از خود محافظت کنند، RDP را خاموش کرده، و یا اگر نیاز دارند که به صورت منظم از این پروتکل استفاده کنند، راه‌کارهای حفاظتی خوبی را به کار گیرند. سازمان‌ها همچنین باید توجه داشته باشند که برای برقراری ارتباط با شبکه‌های خارجی یک شبکه‌ی خصوصی مجازی (VPN) و احراز هویت دو مرحله‌ای را مورد استفاده قرار دهند، و همچنین هر چه سریع‌تر وصله‌های در دسترس را نصب کنند تا مطمئن شوند که سامانه‌های آن‌ها محافظت‌شده باقی می‌مانند.
پول دوکلین، یکی از پژوهش‌گران ارشد شرکت Sophos گفت: «احتمالاً شنیده‌اید که می‌گویند، اگر می‌خواهید کاری درست انجام شود، خودتان آن را انجام دهید. متاسفانه کلاه‌برداران سایبری برای انجام اقدامات مخرب خود به این توصیه عمل کرده‌اند؛  اگر شما به طور نادرستی دسترسی از راه دور به شبکه‌ی خود را راه‌اندازی کنید، مهاجمان می‌توانند به شبکه‌ی شما وارد شده و مانند هر کاربر قانونی دیگری فعالیت کنند؛ به سادگی با اجرای مستقیم باج‌افزار  و بدون نیاز به برنامه‌ی مدیریت یا کارگزار کنترل و فرمان سامانه‌های شما را آلوده کنند. این بدان معنی است که مجرمان سایبری برای راه‌اندازی این حملات نیازی به به‌کارگیری رایانامه‌ها، مهندسی اجتماعی یا ضمیمه‌های مخرب ندارند.»

با این حال، استفاده از RDP برای توزیع بدافزار یک شیوه‌ی جدید نیست. در حقیقت، این روش حمله در اوایل سال جاری بسیار محبوب بود، در حدی که تقریباً جای استفاده از رایانامه برای توزیع باج‌افزار را پر کرده بود. ماه گذشته، یکی از مشتقات باج‌افزار BTCware به نام Payday مشاهده شد که از همین روش برای توزیع استفاده می‌کرد. پژوهش‌گران امنیتی با بررسی این حملات کشف کردند که متصدیان این بدافزار از حملات جست‌وجوی فراگیر (brute-force) برای شکستن گذرواژه‌های RDP و تحت تاثیر قرار دادن سامانه‌هایی که دارای امنیت ضعیفی هستند، استفاده می‌کنند.

  • 01.png
  • 02.png
  • 03.png
  • 04.png
  • 05.png
  • 06.png
  • 07.png
  • 08.png