استفاده از باج‌افزار Cerber در حملات گسترده‌ علیه کاربران Office ۳۶۵

در طی ماه‌های گذشته، باج‌افزارها تبدیل به یک تهدید سایبری گسترده شده‌اند که همه شرکت‌های تجاری و هم افراد شخصی را هدف قرار داده‌اند. اخیراً یک حمله‌ی گسترده علیه کاربران آفیس ۳۶۵ این گستردگی را بیش‌ازپیش تأیید می‌کند.

گزارش اخیر از شرکت امنیت ابری آوانان اظهار می‌کند که این حمله در ۲۲ ژوئن شروع شده است و برای بیش از ۲۴ ساعت مداومت داشته است. این شرکت امنیتی که بر محافظت و امنیت از خدمات ابری آفیس ۳۶۵، Box ،Salesforce، آمازون AWS و سایر برنامه‌های ابری تمرکز دارد می‌گوید که این حمله‌ی گسترده بر مشتریان این شرکت که از آفیس ۳۶۵ استفاده می‌کنند متمرکز است.

به گفته‌ی استیون تول از شرکت آوانان، این مهاجمان از باج‌افزار Ceber برای آلوده کردن رایانه‌ی قربانیان استفاده کرده‌اند و میلیون‌ها کاربر تجاری آفیس ۳۶۵ به احتمال زیاد آلوده شده‌اند. همچون سایر باج‌افزارهایی مثل Ceber نیز پرونده‎های شخصی کاربر را (همچون تصاویر، اسناد، ویدئوها و دیگر انواع پرونده) رمزگذاری می‌کند و از قربانی می‌خواهد تا برای بازگرداندن آن‌ها مبلغ باج را بپردازد.

باج‎افزار Ceber به‌عنوان یک ضمیمه هرزنامه که حاوی یک سند مخرب است از طریق ترفندهای مختلف مهندسی اجتماعی گسترش می‌یابد و کاربران را وادار می‌کند تا ماکروهای خود را در آفیس فعال کنند تا بتواند کدهای مخرب را اجرا کند. Ceber تنها از این شیوه‌ی حمله استفاده نمی‌کند، این برنامه مخرب قابلیت‌های منحصربه‌فرد خاص خود را دارد: پس از رمزگذاری پرونده‎ها، این باج‌افزار یک پرونده صوتی پخش می‌کند تا قربانیان را از آلوده شدن رایانه‌های آن‌ها آگاه کند. البته این باج‌افزار یک هشدار نوشتاری را نیز نشان می‌دهد.

این شرکت امنیتی ادعا می‌کند که حدود ۵۷ درصد از سازمان‌هایی که از آفیس ۳۶۵ استفاده می‌کنند دست‌کم یک نسخه از این باج‌افزار را در صندوق پستی خود در آفیس ۳۶۵ در طی این حملات دریافت کرده‌اند. با این وجود، این شرکت می‌گوید که مشکل است بتوان فهمید که چه تعداد از این کاربران در اثر باز کردن این بدافزار آلوده شده‌اند. همچنین این شرکت می‌گوید که مایکروسافت توانسته است یک روز بعد از انجام حمله، این ضمیمه‌ی آلوده را مسدود کند.

باج‌افزار Ceber اولین بار در ماه مارس کشف شد و پس از آن مجموعه‌ای از به‌روزرسانی‌ها را برای بهبود عملکرد خود دریافت کرده است. این تهدید در حملاتی مشاهده شده است که به‌صورت عمده ایالات‌متحده آمریکا، ترکیه و بریتانیا را هدف قرار داده‌اند. علاوه بر این به نظر می‌رسد که تهدید از حملات DDoS در ماه می استفاده کرده است و در اوایل این ماه هر ۱۵ ثانیه ظاهر می‌شده تا از خطر تشخیص داده شدن، جلوگیری کند.

شرکت آوانان می‌گوید که این حمله‌ی به‌تازگی مشاهده شده از یکی از انواع Ceber که در ماه مارس مشاهده شده است، استفاده می‌کند اما از ذکر جزییات بیشتر در این باره خودداری کرده است. با این حال، این شرکت امنیتی گفته است که این باج‌افزار «بعد از آنکه ابداع‌کنندگان آن به‌آسانی توانسته‌اند سامانه‌های دفاع امنیتی موجود در آفیس ۳۶۵ را با استفاده از حساب‌های رایانامه آفیس ۳۶۵ دور بزنند، به‌صورت بسیار وسیعی گسترش پیدا کرده است».

این شرکت امنیتی همچنین اشاره می‌کند که برنامه‌های سنتی ضد بدافزار قادر به تشخیص این حمله نیستند چرا که به کاربران برنامه‌های رایانه ابری حمله می‌کند. Ceber به‌عنوان بخشی از این حمله از رمزگذاری AES-۲۶۵ و RSA استفاده می‌کند که در حال حاضر نمی‌توان آن‌ها را شکست و خواستار باجی به مبلغ ۱.۲۴ بیت‌کوین برای قربانیان برای آزادسازی پرونده‎های آنان است.

گیل فریدریش مدیرعامل شرکت آوانان شرح می‌دهد:‌ «بسیاری از کاربران برنامه‌های رایانامه‌ی ابری معتقدند که باید همه‌چیز را به مایکروسافت یا گوگل بسپارند حتی امنیت خود را. واقعیت این است که نفوذگران قبل از هر چیز مطمئن می‌شوند که بدافزار آن‌ها اقدامات امنیتی ارائه‌دهندگان رایانامه‌های ابری را دور می‌زند و بنابراین اکثر بدافزارهای جدید از طریق برنامه‌های رایانامه‌ی ابری بدون اینکه کشف شوند رخنه می‌کنند».

منبع: asis

    درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.