گروه‌های باج‌افزاری از چه آسیب‌پذیری‌هایی سوءاستفاده می‌کنند؟

محققان امنیتی فهرستی از آسیب‌پذیری‌هایی را که در یک سال اخیر جهت نفوذ به شبکه قربانیان مورد سوءاستفاده مهاجمان قرار گرفته، ارائه داده‌اند.

در این گزارش که با همکاری شرکت مهندسی شبکه گستر و مرکز مدیریت راهبردی افتای ریاست جمهوری تهیه شده، فهرست مذکور مورد بررسی قرار گرفته است.

تهیه این فهرست با فراخوان یکی از محققان تیم واکنش حوادث امنیت رایانه (Computer Security Incident Response Team) شرکت رکوردد فیوچر (Recorded Future, Inc.) در توییتر آغاز شد. با ملحق شدن محققان دیگر به این کارزار، این فهرست به سرعت تکمیل شد. فهرست مذکور شامل ضعف‌های امنیتی موجود در بیش از دوازده محصول ساخت شرکت‌های مطرح فناوری اطلاعات است.

به گفته محققان امنیتی، این ضعف‌های امنیتی توسط برخی گروه‌های باج‌افزاری در حملات گذشته و جاری مورد سوءاستفاده قرار گرفته‌اند و احتمال می‌رود همچنان در آینده نیز مورد بهره‌جویی قرار گیرند. به عبارت دیگر، این آسیب‌پذیری‌ها، ضعف‌هایی هستند که به صورت فعال از آنها سوءاستفاده می‌شود.

این فهرست که در قالب نمودار زیر ارائه شده، ضعف‌های امنیتی که در نقطه شروع حملات باج‌افزاری از آنها سوءاستفاده می‌شود را نمایش می‌دهد.

گروه‌های باج‌افزاری به طور مستمر در حال بهره‌جویی از آسیب‌پذیری‌های جدید هستند. به عنوان مثال، در هفته‌های اخیر، برخی گردانندگان خدمات “باج‌افزار به عنوان سرویس” (Ransomware-as-a-Service – به اختصار RaaS)، سوءاستفاده از ضعف‌امنیتی موجود در MSHTML به شناسه CVE-2021-40444 را برای “اجرای کد به صورت از راه دور” در نسخه‌های مختلف سیستم‌عامل Windows در دستور کار خود قرار داده‌اند. مهاجم در این روش معمولاً یک سند Office برای کاربر ارسال نموده و کاربر را متقاعد می‌کند که سند مخرب را باز کند. سپس با کنترل مرورگر کاربر از طریق ایجاد یک کنترل مخرب ActiveX، از آسیب‌پذیری موجود در MSHTML سوءاستفاده می‌کند. البته مایکروسافت این آسیب‌پذیری را در اصلاحیه ماه سپتامبر خود برطرف نموده است.

در اوایل شهریور، باج‌افزار Conti نیز سرورهای Exchange را هدف قرار داد و با سوءاستفاده از مجموعه آسیب‌پذیری‌های ProxyShell (با شناسه‌های CVE-2021-34473 ،CVE-2021-34523 و CVE-2021-31207) به شبکه سازمان‌های مختلفی نفوذ کرد.

در اواسط تابستان، LockFile از آسیب‌پذیری‌های ProxyShell در سرورهای Exchange و آسیب‌پذیری‌‌های PetitPotam در Windows برای تسخیر دامنه‌های Windows و رمزگذاری دستگاه‌ها سوءاستفاده کردند.

Magniber نیز سوءاستفاده از ضعف‌امنیتی PrintNightmare به شناسه CVE-2021-34527 را در کارنامه دارد.

در نمونه‌ای دیگر eCh0raix نیز با سوءاستفاده از ضعف‌امنیتی به شناسه CVE-2021-28799 تجهیزات NAS ساخت شرکت‌های کیونپ (QNAP) و ساینالوژی (Synology) را مورد هدف قرار داده است.

باج‌افزار HelloKitty نیز در تیر ماه، تجهیزات آسیب‌پذیر SonicWall را با سوءاستفاده از ضعف‌امنیتی به شناسه CVE-2019-7481 مورد هدف قرار داد. در همین ماه مهاجمان REvil با سوءاستفاده از آسیب‌پذیری‌های “روز-صفر” Kaseya (به شناسه‌های CVE-2021-30116 ،CVE-2021-30119 و CVE-2021-30120)، مشتریان شرکت کاسیا (Kaseya) را که از محصول Kaseya VSA استفاده می‌کردند هدف حملات گسترده‌ای قرار دادند. در جریان این حملات، 60 شرکت‌ ارائه‌دهنده خدمات پشتیبانی (Managed Service Provider – به اختصار MSP) و بیش از 1500 کسب و کار در سراسر جهان مورد حمله و رمزگذاری قرار گرفتند.

باج‌افزار FiveHands نیز از ضعف امنیتی موجود در تجهیزات SonicWall به شناسه CVE-2021-20016 قبل از این که در اواخر سال 1399 وصله شود، سوءاستفاده نمود.

شرکت کیونپ در فروردین ماه، در خصوص حملات باج‌افزار AgeLocker از طریق سوءاستفاده از ضعف‌امنیتی “روز-صفر” در ثابت‌افزارهای (Firmware) قدیمی تجهیزات NAS ساخت این شرکت هشدار داد. درست همانطور که یک گروه بزرگ باج‌افزاری به نام Qlocker، تجهیزات ساخت شرکت کیونپ را که ضعف‌امنیتی به شناسه CVE-2021-28799 در آنها وصله نشده‌ بود، هدف حمله قرار داد.

در همان ماه، پس از هشدار مشترک FBI و CISA مبنی بر اینکه مهاجمان در حال اسکن تجهیزات آسیب‌پذیر ساخت شرکت فورتی‌نت (Fortinet) هستند، باج‌فزار Conti رمزگذاری دستگاه‌های آسیب‌پذیر VPN فورتی‌نت مربوط به بخش صنعتی را با سوءاستفاده از ضعف‌امنیتی به شناسه CVE-2018-13379 آغاز نمود.

در اسفند 1399، سرورهای Exchange در سراسر جهان مورد حمله Black Kingdom قرار گرفتند و باج‌افزار Dearcry نیز در موج گسترده‌ای از حملات خود سیستم‌های بدون وصله را از طریق آسیب‌پذیری ProxyLogon با شناسه‌های CVE-2021-26855،وCVE-2021-26857 ،CVE-2021-26858 و CVE-2021-27065 مورد هدف قرار داد.

و در آخر اینکه از اواسط آذر تا دی ماه سال 99، باج‌افزار Clop با سوءاستفاده از ضعف‌های ‌امنیتی به شناسه‌ CVE-2021-27101 ،CVE-2021-27102 ،CVE-2021-27103 و CVE-2021-27104 به سرورهای Accellion حمله نمود.

محققان همواه در تلاش هستند که حملات باج‌افزاری که سالهاست بخش‌های خصوصی و عمومی جهان را درگیر کرده است، بی‌اثر کنند. در این راستا، اخیراً نهادهای امنیتی کشورهای مختلف دستورالعمل‌هایی جهت حفاظت و مقابله با باج‌افزارها در کسب و کارها منتشر کرده‌اند. برخی از این دستورالعمل‌ها عبارتند از:

• https://www.cert.govt.nz/business/guides/protecting-from-ransomware/
• https://github.com/cisagov/cset
• https://www.cisa.gov/stopransomware/ive-been-hit-ransomware