حملات سایبری بزرگ و نقض اطلاعات در سال 2023
در حالی که حملات باج افزارها همچنان یک تهدید بزرگ برای سازمان ها، به ویژه کسب و کارهای کوچکتر و کمتر محافظت شده باقی مانده اند. تمرکز بر سرقت داده ها و کمپین های مختص اخاذی توسط برخی مهاجمان سایبری یک پیشرفت بزرگ در چشم انداز تهدیدات سایبری در سال 2023 بود. دو مورد از کمپین های حمله ، حملات MOVEit و GoAnywhere ،باجافزار مبتنی بر رمزگذاری را شامل نمیشد، اما در عوض شامل درخواستهای اخاذی در ازای عدم افشای عمومی دادههای دزدیده شده بود. گروه روسی زبان پشت هر دو کمپین حمله، Clop ، برجسته ترین گروهی بود که در سال 2023 از حملات فقط اخاذی حمایت کرد.
در همین حال، بسیاری از مهاجمان به کاهش استفاده از بدافزارها ادامه دادند و در عوض به استفاده از ابزارهای ریموت اکسپلویت مانند نظارت و مدیریت از راه دور (RMM) روی آوردند.بدین دلیل که احتمال دیده شدنشان توسط محصولات امنیت نقطه پایانی کمتر می شود. حملات مبتنی بر هویت با استفاده از اعتبارنامه های به خطر افتاده نیز در سال 2023 به عنوان راهی برای دور زدن تشخیص و پاسخ نقطه پایانی (EDR) افزایش یافت. و در مورد فیشینگ و مهندسی اجتماعی، این تاکتیکهای آزمایش شده و واقعی همچنان یک تهدید بزرگ باقی ماند.
در ادامه تعدادی کمپین اصلی حمله سایبری و نقض اطلاعات که در سال 2023 به ترتیب زمانی رخ داد بررسی شده اند :
حملات باج افزار ESXi
در فوریه 2023، کمپین باج افزار ESXiArgs مشتریانی را که VMware ESXi hypervisor را اجرا می کردند، هدف قرار داد. برآورد FBI و CISA در آن زمان تعداد سرورهای در معرض خطر در سراسر جهان را 3800 عنوان کرد.
طبق گزارشات شرکت امنیت سایبری Censys، این کمپین سازمانهایی را در کشورهایی از جمله ایالات متحده، کانادا، فرانسه و آلمان هدف قرار داده است. به گفته محققان، این حملات از یک آسیب پذیری دو ساله (که در CVE-2021-21974 ردیابی شده است) که نسخه های قدیمی VMware ESXi را تحت تأثیر قرار می دهد، سوء استفاده کردند.
این آسیب پذیری سرویس OpenSLP در نسخه های قدیمی ESXi را تحت تأثیر قرار می دهد و می تواند برای فعال کردن اجرای ریموت کد اکسپلویت استفاده قرار گیرد.
VMware بیانیهای منتشر کرد :حملات اخیر باجافزار ESXiArgs حقایق مهمی را در مورد محافظت از زیرساختهای مجازی روشن کرده است. حقیقت مهم این است که زیرساخت مجازی یک هدف با ارزش است، دقیقاً به این دلیل که سازمانها مهمترین حجم کاری خود را در آنجا انجام میدهند و عوامل تهدید به طور مداوم ابزارها و تاکتیکهای خود را برای کار در آن محیطها توسعه میدهند.
GoAnywhere حملات
کمپانی امنیت سایبری Fortra به مشتریان خود اطلاع داد که یک آسیبپذیری روز صفر را در پلتفرم انتقال فایل GoAnywhere شناسایی کرده است که میتواند برای اجرای ریموت کد در سیستمهای آسیبپذیر استفاده شود.
به گفته مرکز منابع سرقت هویت، بزرگترین حادثه کمپین GoAnywhere ، هک مزایای مراقبت های بهداشتی و شرکت فناوری NationsBenefits ، بر 3 میلیون عضو تأثیر گذاشت.
پلتفرم GoAnywhere همچنین توسط هکرها برای سرقت دادههای بسیاری از سازمانهای بزرگ دیگر از جمله Procter & Gamble، City of Toronto، Crown Resorts و شرکت امنیت داده Rubrik مورد سوء استفاده قرار گرفت.
در ماه آوریل، Fortra گفت که برخی از مشتریانی که نرمافزار را On-Premise نصب کردهاند، در معرض خطر بیشتری از حملات قرار دارند.
نرمافزارها یا سیستمهای On-Premise راهکارهایی هستند که در دیتاسنتر و سرورهای خصوصی در محل و تاسیسات شرکت بهرهبرداری کننده نصب، مستقر و نگهداری میشوند. به عبارت دیگر، کسب و کارها برای استفاده از این نوع سیستمها ناچار هستند که تمام زیرساختهای لازم برای اجرای آنها را خودشان فراهم کرده و نصب، پیادهسازی و اجرای این نرم افزارها را رأساً انجام دهند.
به همین ترتیب، تعمیر و نگهداری، حفظ امنیت و به روز رسانی آنها نیز تحت نظارت شرکت بهرهبردار انجام میشود. از ویژگیهای این نوع نرمافزارها این است که شما به عنوان خریدار، مالکیت کامل آنها را در اختیار خواهید داشت و برای بهرهبرداری از آنها باید خودتان سرورها، سیستمهای عامل، میانافزارها و پایگاههای داده لازم برای آنها را فراهم کنید.
این شرکت در یک پست وبلاگی گفت: از جمله کشفیات شرکت فورتا در مورد این حملات، این بود که آسیبپذیری GoAnywhere در برابر تعداد کمی از پیادهسازیهای on-premise که پیکربندی خاصی از راهحل GoAnywhere MFT را اجرا میکردند، استفاده شد.
حملات MOVEit
کمپین گسترده توسط Clop، یک گروه روسی زبان، از یک آسیبپذیری مهم در ابزار انتقال فایل MOVEit Progress سوء استفاده کرد و گمان میرود که در اواخر ماه می آغاز شده باشد. همچنین اعتقاد بر این است که این حملات مانند حملات باج افزار سنتی شامل هیچ گونه استقرار رمزگذاری نشده است.در عوض، Clop ادعا کرد که اگر یک شرکت قربانی،باج را بپردازد، این گروه اطلاعات دزدیده شده قربانی را در وب سایت دارک خود افشا نمی کند. و برای صدها شرکت که احتمالاً تصمیم به پرداخت نکردن گرفتند، کلوپ دقیقاً این کار را انجام داد.
اینکه کدام شرکت ها در واقع این تقاضا را پرداخت کرده اند، آمار درستی در دست نبود. اما از ماه جولای، شرکت واکنش به حوادث Coveware تخمین زد که کلوپ بین 75 تا 100 میلیون دلار در این حملات دریافت خواهد کرد.
بر اساس آمار شرکت امنیت سایبری Emsisoft، تا روز چهارشنبه، تعداد خیره کننده سازمان های تحت تاثیر کمپین MOVEit در مجموع به 2667 رسید. از نظر افراد شناخته شده که تحت تاثیر قرار گرفته اند، مجموع در حال حاضر نزدیک به 84 میلیون نفر است. در صنعت IT، قربانیان کمپین اخاذی داده MOVEit شامل IBM، Cognizant و Deloitte، PricewaterhouseCoopers و Ernst & Young بودند.
حملات درگاه امنیتی ایمیل Barracuda
کمپانی Barracuda Networks پیشرو در سراسر جهان در حفاظت از ایمیل، حفاظت از برنامه وب ، امنیت شبکه و راه حل های حفاظت از داده است. حملات ایمیل در ابتدا توسط Barracuda در اواخر ماه مه 2023 فاش شد، کمپین حمله از یک آسیبپذیری مهم در تجهیزات داخلی Email Security Gateway (ESG) شرکت استفاده کرد.
Barracuda در ماه ژوئن فاش کرد که معتقد است 5 درصد از وسایل فعال ESG توسط مهاجمان به خطر افتاده است.
این حملات باعث توصیه بسیار غیرمعمول Barracuda شد که مشتریان متأثر باید در واقع دستگاه های ESG خود را جایگزین کنند.
Mandiant “کمپین گسترده” را به گروهی که تحت عنوان UNC4841 دنبال می کند، نسبت داده است. گفته می شود UNC4841 در حمایت از دولت چین فعالیت می کند.
در اواخر ماه اوت، باراکودا به مشتریان آسیبدیده پیشنهاد داد که دستگاه آسیبدیده خود را جایگزین کنند. این شرکت خاطرنشان کرد که دستگاه های جایگزین را به صورت رایگان در اختیار مشتریان آسیب دیده قرار می دهد.
مایکروسافت Cloud Email Breach
گمان میرود که نفوذ گسترده به اکانت های ایمیل ابری مایکروسافت متعلق به چندین آژانس دولتی ایالات متحده، که در ماه ژوئن کشف شد، بر ایمیلهای جینا ریموندو، وزیر بازرگانی و همچنین نیکلاس برنز، سفیر ایالات متحده در چین و مقامات وزارت بازرگانی تأثیر گذاشته است. بر اساس گزارش ها، در مجموع 60000 ایمیل از 10 دپارتمان ایالات متحده به سرقت رفته است.
این حادثه سناتور آمریکایی ران وایدن را وادار کرد تا تحقیقات فدرال را برای تعیین اینکه آیا اقدامات امنیتی ضعیف توسط مایکروسافت منجر به هک شده است یا خیر، و همچنین منجر به انتقاد بسیاری از مدیران برجسته در صنعت امنیت شد.
در ماه سپتامبر، مایکروسافت فاش کرد که مسائل دیگری را شناسایی کرده است که عامل تهدید مرتبط با چین ردیابی شده با عنوان Storm-0558 را قادر میسازد تا حسابهای ایمیل ابری مقامات آمریکایی را در معرض خطر قرار دهد.
در یک پست وبلاگی، این غول فناوری فاش کرد که یک نقص باعث شده است که یک کلید اکتیو دایرکتوری Azure که در سازش استفاده میشد، بهطور نامناسبی در فایلی به دنبال خرابی سیستم ویندوز در سال 2021 ذخیره شود. نقص دیگری منجر به وجود نداشتن کلید شد. مایکروسافت گفت شناسایی شد.
علاوه بر این، به گفته این شرکت، عامل تهدید در پشت این نقض تنها از طریق به خطر انداختن حساب شرکتی متعلق به یک مهندس مایکروسافت میتوانست به فایل حاوی کلید دسترسی پیدا کند.
پیش از این، مایکروسافت گفته بود که از کلید دزدیده شده Azure Active Directory برای جعل توکنهای احراز هویت و دسترسی به ایمیلهای 25 سازمان مورد سوء استفاده قرار گرفته است.
حملات Cisco IOS XE
در اواسط اکتبر، یک کمپین علیه مشتریان Cisco IOS XE به سرعت به یکی از گستردهترین Edge attacks تبدیل شد. به گفته محققان Censys، نزدیک به 42000 دستگاه سیسکو از طریق اکسپلویت یک آسیب پذیری حیاتی IOS XE که در 16 اکتبر کشف شد، در معرض خطر قرار گرفتند.
سیسکو اظهار داشت که آسیب پذیری روز صفر در IOS XE شاهد “بهره برداری فعال” توسط مهاجمان بود. این آسیبپذیری حداکثر امتیاز، ۱۰.۰ از ۱۰.۰ را از سیسکو دریافت کرد. تیم اطلاعاتی تهدید Talos سیسکو گفت که بهره برداری از این آسیب پذیری حیاتی می تواند به یک عامل مخرب اجازه دهد تا کنترل کامل دستگاه در معرض خطر را به دست آورد.
پلتفرم نرم افزار شبکه IOS XE توسط تعداد زیادی از دستگاه های سیسکو استفاده می شود که بسیاری از آنها معمولاً در محیط های لبه مستقر می شوند. اینها عبارتند از روترهای شعبه، روترهای صنعتی و روترهای تجمع و همچنین نقاط دسترسی Catalyst 9100 و کنترلرهای بی سیم Catalyst 9800 “آماده اینترنت اشیا”.
در 23 اکتبر2023 ، سیسکو اولین مورد از یک سری پچ ها را برای رفع آسیب پذیری حیاتی IOS XE منتشر کرد.