آسیب پذیری های محبوب باج افزارها در سال 2021

محققان امنیتی فهرستی از آسیب ‌پذیری‌های پر استفاده تهیه کرده‌اند که توسط گروه‌های باج افزاری و به عنوان اولین و در دسترس‌ترین راه نفوذ به شبکه قربانیان مورد استفاده قرار می‌گیرند. 

این جریان با فراخوانی از سوی Allan Liska یکی از اعضای تیم واکنش سریع امنیت رایانه‌ای (CSIRT) در توییتر آغاز شد. پس از آن، برخی دیگر از فعالان این حوزه نیز به این فراخوان پیوسته و با اضافه کردن آسیب ‌پذیری‌های موجود در محصولات مختلف مورد استفاده هکرها، اقدام به تکمیل این لیست کردند. در حالی که از این آسیب پذیری‌ها در حملات گذشته و جاری گروه‌های باج افزاری سوءاستفاده شده است، اما این لیست همچنان در حال گسترش است تا اکسپلویت‌های تازه کشف شده فعال را نیز پوشش دهد. این فهرست، نقطه شروعی برای تقویت زیرساخت‌های امنیتی در مقابله با باجگیر‌ها خواهد بود.

آسیب پذیری‌های مورد استفاده گروه‌های باج‌افزاری در سال 2021

تنها در سال جاری، گروه‌های باج افزاری ده‌ها آسیب ‌پذیری‌‌ را به لیست راه های نفوذ خود اضافه کرده‌اند. در ادامه آسیب پذیری‌های مورد استفاده به تفکیک ماه را مشاهده می‌کنید:

• برای مثال، در ماه سپتامبر شمار نامشخصی از گروه‌های باج‌افزار به عنوان سرویس (RaaS) با دسترسی اجرای کد از راه دور، شروع به استفاده از آسیب پذیری تازه کشف شده MSHTML ویندوز کرده‌اند (CVE-2021-40444). در اوایل ماه نیز، باج‌افزار Conti از آسیب ‌پذیری‌های سرور Exchange به نام ProxyShell استفاده کرد تا به شبکه سازمان‌ها نفوذ کند (CVE-2021-34473,CVE-2021-34523, CVE-2021-31207).
• در ماه اوت گروه LockFile از روش حمله PetitPotam NTLM با شناسه CVE-2021-36942 برای تسخیر تمام دامنه‌های ویندوزی در سراسر جهان استفاده کرد؛ گروه Magnibar از آسیب پذیری PrintNightmare (CVE-2021-34527) استفاده کرد و eChoraix نیز  آسیب پذیری‌های مرتبط با خدمات NAS و QNAP را مورد بهره‌برداری قرار داد (CVE-2021-28799).
• گروه HelloKitty سیستم‌های آسیب‌پذیر SonicWall را در ماه جولای هدف گرفت (CVE-2021-7481) در حالی که گروه REvil به شبکه شرکت Kaseya نفوذ کرد و با استفاده از آسیب ‌پذیری‌های CVE-2021-30116 CVE-2021-30119 و CVE-2021-30120 به سرورهای تحت وب VSA و 1500 کاربر سازمانی آن حمله کرد.
• گروه FiveHands پیش از وصله شدن آسیب‌پذیری Sonic Wall در ماه فوریه بهره‌برداری از آن را آغاز کرد (CVE-2021-20016).
• در ماه آوریل باج افزار AgeLocker از آسیب پذیری کشف نشده در سفت افزار (Firmware) قدیمی ابزارهای NAS استفاده کرد که به شدت حمله Qlocker به همین شرکت و با استفاده از آسیب‌پذیری (CVE-2021-28799) بود. در همین ماه نیز گروه Cring دستگاه‌های Fortinet VPN وصله نشده بر روی شبکه شرکت‌های صنعتی را مورد حمله قرار داد (CVE-2021-13379) آن ‌هم درست پس از اینکه FBI و CISA در خصوص این آسیب پذیری و احتمال استفاده از آن اخطار داده بودند.
• در ماه مارس، گروه Black Kingdom سرورهای Exchange شرکت مایکروسافت در سراسر جهان را هدف قرار داد و گروه DearCry نیز در همین راستا و به عنوان موج سهمگینی از حملات از آسیب پذیری‌های وصله نشده ProxyLogon بهره برد (CVE-2021-26855,CVE-2021-26857,CVE-2021-26858, CVE-2021-27065).
• در انتهای این فهرست نیز گروه Clop قرار دارد که به سرورهای Accellion حمله کرد و با استفاده از آسیب پذیری‌های CVE-2021-27101 ،CVE-2021-27102 ،CVE-2021-27103 ،CVE-2021-27104 در میانه ماه دسامبر سال 2020 تا اواسط ژانویه 2021 قیمت باج خواهی را به طور کامل بالا برد.

 در ماه گذشته میلادی CISA به همراه مجموعه‌ای از شرکت‌ها متشکل از Microsoft ،Google Cloud ،AWS ،AT&T ،Crowdstrike ،FireEye ،Lumen ،Palo Alto و Verizon برای مقابله با باج‌افزارها گرد هم آمدند تا به عنوان یک گروه دفاعی با هم همکاری کنند. در همین راستا دستورالعمل‌های متعددی از سوی نهادهای امنیتی در سراسر جهان منتشر شده تا کاربران را در برابر حملات باج افزاری و آسیب آنها ایمن کند.

شما می‌توانید برای مطالعه راهکارهای مقابله با باج‌افزارها، به مقاله توصیه‌نامه امنیتی پادویش در مقابله با باج‌افزارها و سایر تهدیدات سایبری در پایگاه دانش پشتیبانی امن‌پرداز مراجعه نمایید.