در حالی که حملات باج افزارها همچنان یک تهدید بزرگ برای سازمان ها، به ویژه کسب و کارهای کوچکتر و کمتر محافظت شده باقی مانده اند. تمرکز بر سرقت داده ها و کمپین های مختص اخاذی توسط برخی مهاجمان سایبری یک پیشرفت بزرگ در چشم انداز تهدیدات سایبری در سال 2023 بود. دو مورد از کمپین های حمله ، حملات MOVEit و GoAnywhere ،باج‌افزار مبتنی بر رمزگذاری را شامل نمی‌شد، اما در عوض شامل درخواست‌های اخاذی در ازای عدم افشای عمومی داده‌های دزدیده شده بود. گروه روسی زبان پشت هر دو کمپین حمله، Clop ، برجسته ترین گروهی بود که در سال 2023 از حملات فقط اخاذی حمایت کرد.

در همین حال، بسیاری از مهاجمان به کاهش استفاده از بدافزارها ادامه دادند و در عوض به استفاده از ابزارهای ریموت اکسپلویت مانند نظارت و مدیریت از راه دور (RMM) روی آوردند.بدین دلیل که احتمال دیده شدنشان توسط محصولات امنیت نقطه پایانی کمتر می شود. حملات مبتنی بر هویت با استفاده از اعتبارنامه های به خطر افتاده نیز در سال 2023 به عنوان راهی برای دور زدن تشخیص و پاسخ نقطه پایانی (EDR) افزایش یافت. و در مورد فیشینگ و مهندسی اجتماعی، این تاکتیک‌های آزمایش شده و واقعی همچنان یک تهدید بزرگ باقی ماند.

• FortiEDR چیست؟

در ادامه تعدادی کمپین اصلی حمله سایبری و نقض اطلاعات که در سال 2023 به ترتیب زمانی رخ داد بررسی شده اند :

در فوریه 2023، کمپین باج افزار ESXiArgs مشتریانی را که VMware ESXi hypervisor را اجرا می کردند، هدف قرار داد. برآورد FBI و CISA در آن زمان تعداد سرورهای در معرض خطر در سراسر جهان را 3800 عنوان کرد.

طبق گزارشات شرکت امنیت سایبری Censys، این کمپین سازمان‌هایی را در کشورهایی از جمله ایالات متحده، کانادا، فرانسه و آلمان هدف قرار داده است. به گفته محققان، این حملات از یک آسیب پذیری دو ساله (که در CVE-2021-21974 ردیابی شده است) که نسخه های قدیمی VMware ESXi را تحت تأثیر قرار می دهد، سوء استفاده کردند.

این آسیب پذیری سرویس OpenSLP در نسخه های قدیمی ESXi را تحت تأثیر قرار می دهد و می تواند برای فعال کردن اجرای ریموت کد اکسپلویت استفاده قرار گیرد.

VMware بیانیه‌ای منتشر کرد :حملات اخیر باج‌افزار ESXiArgs حقایق مهمی را در مورد محافظت از زیرساخت‌های مجازی روشن کرده است. حقیقت مهم این است که زیرساخت مجازی یک هدف با ارزش است، دقیقاً به این دلیل که سازمان‌ها مهم‌ترین حجم کاری خود را در آنجا انجام می‌دهند و عوامل تهدید به طور مداوم ابزارها و تاکتیک‌های خود را برای کار در آن محیط‌ها توسعه می‌دهند.

کمپانی امنیت سایبری Fortra به مشتریان خود اطلاع داد که یک آسیب‌پذیری روز صفر را در پلتفرم انتقال فایل GoAnywhere شناسایی کرده است که می‌تواند برای اجرای ریموت کد در سیستم‌های آسیب‌پذیر استفاده شود.

به گفته مرکز منابع سرقت هویت، بزرگترین حادثه کمپین GoAnywhere ، هک مزایای مراقبت های بهداشتی و شرکت فناوری NationsBenefits ، بر 3 میلیون عضو تأثیر گذاشت.

پلتفرم GoAnywhere همچنین توسط هکرها برای سرقت داده‌های بسیاری از سازمان‌های بزرگ دیگر از جمله Procter & Gamble، City of Toronto، Crown Resorts و شرکت امنیت داده Rubrik مورد سوء استفاده قرار گرفت.

در ماه آوریل، Fortra گفت که برخی از مشتریانی که نرم‌افزار را  On-Premise نصب کرده‌اند، در معرض خطر بیشتری از حملات قرار دارند.

نرم‌افزارها یا سیستم‌های On-Premise راهکارهایی هستند که در دیتاسنتر و سرورهای خصوصی در محل و تاسیسات شرکت بهره‌برداری کننده نصب، مستقر و نگهداری می‌شوند. به عبارت دیگر، کسب و کارها برای استفاده از این نوع سیستم‌ها ناچار هستند که تمام زیرساخت‌های لازم برای اجرای آنها را خودشان فراهم کرده و نصب، پیاده‌سازی و اجرای این نرم افزارها را رأساً انجام دهند.

به همین ترتیب، تعمیر و نگهداری، حفظ امنیت و به روز رسانی آنها نیز تحت نظارت شرکت بهره‌بردار انجام می‌شود. از ویژگی‌های این نوع نرم‌افزارها این است که شما به عنوان خریدار، مالکیت کامل آنها را در اختیار خواهید داشت و برای بهره‌برداری از آنها باید خودتان سرورها، سیستم‌های عامل، میان‌افزارها و پایگاه‌های داده لازم برای آنها را فراهم کنید.

این شرکت در یک پست وبلاگی گفت: از جمله کشفیات شرکت فورتا در مورد این حملات، این بود که آسیب‌پذیری GoAnywhere در برابر تعداد کمی از پیاده‌سازی‌های on-premise که پیکربندی خاصی از راه‌حل GoAnywhere MFT را اجرا می‌کردند، استفاده شد.

کمپین گسترده توسط Clop، یک گروه روسی زبان، از یک آسیب‌پذیری مهم در ابزار انتقال فایل MOVEit Progress سوء استفاده کرد و گمان می‌رود که در اواخر ماه می آغاز شده باشد. همچنین اعتقاد بر این است که این حملات مانند حملات باج افزار سنتی شامل هیچ گونه استقرار رمزگذاری نشده است.در عوض، Clop ادعا کرد که اگر یک شرکت قربانی،باج را بپردازد، این گروه اطلاعات دزدیده شده قربانی را در وب سایت دارک خود افشا نمی کند. و برای صدها شرکت که احتمالاً تصمیم به پرداخت نکردن گرفتند، کلوپ دقیقاً این کار را انجام داد.

اینکه کدام شرکت ها در واقع این تقاضا را پرداخت کرده اند، آمار درستی در دست نبود. اما از ماه جولای، شرکت واکنش به حوادث Coveware تخمین زد که کلوپ بین 75 تا 100 میلیون دلار در این حملات دریافت خواهد کرد.

بر اساس آمار شرکت امنیت سایبری Emsisoft، تا روز چهارشنبه، تعداد خیره کننده سازمان های تحت تاثیر کمپین MOVEit در مجموع به 2667 رسید. از نظر افراد شناخته شده که تحت تاثیر قرار گرفته اند، مجموع در حال حاضر نزدیک به 84 میلیون نفر است. در صنعت IT، قربانیان کمپین اخاذی داده MOVEit شامل IBM، Cognizant و Deloitte، PricewaterhouseCoopers و Ernst & Young بودند.

کمپانی Barracuda Networks پیشرو در سراسر جهان در حفاظت از ایمیل، حفاظت از برنامه وب ، امنیت شبکه و راه حل های حفاظت از داده است.  حملات ایمیل در ابتدا توسط Barracuda در اواخر ماه مه 2023 فاش شد، کمپین حمله از یک آسیب‌پذیری مهم در تجهیزات داخلی Email Security Gateway (ESG) شرکت استفاده کرد.

Barracuda در ماه ژوئن فاش کرد که معتقد است 5 درصد از وسایل فعال ESG توسط مهاجمان به خطر افتاده است.

این حملات باعث توصیه بسیار غیرمعمول Barracuda شد که مشتریان متأثر باید در واقع دستگاه های ESG خود را جایگزین کنند.

• معرفی محصول FortiMail

Mandiant “کمپین گسترده” را به گروهی که تحت عنوان UNC4841 دنبال می کند، نسبت داده است. گفته می شود UNC4841 در حمایت از دولت چین فعالیت می کند.

در اواخر ماه اوت، باراکودا به مشتریان آسیب‌دیده پیشنهاد داد که دستگاه آسیب‌دیده خود را جایگزین کنند. این شرکت خاطرنشان کرد که دستگاه های جایگزین را به صورت رایگان در اختیار مشتریان آسیب دیده قرار می دهد.

گمان می‌رود که نفوذ گسترده به اکانت های ایمیل ابری مایکروسافت متعلق به چندین آژانس دولتی ایالات متحده، که در ماه ژوئن کشف شد، بر ایمیل‌های جینا ریموندو، وزیر بازرگانی و همچنین نیکلاس برنز، سفیر ایالات متحده در چین و مقامات وزارت بازرگانی تأثیر گذاشته است. بر اساس گزارش ها، در مجموع 60000 ایمیل از 10 دپارتمان ایالات متحده به سرقت رفته است.

این حادثه سناتور آمریکایی ران وایدن را وادار کرد تا تحقیقات فدرال را برای تعیین اینکه آیا اقدامات امنیتی ضعیف توسط مایکروسافت منجر به هک شده است یا خیر، و همچنین منجر به انتقاد بسیاری از مدیران برجسته در صنعت امنیت شد.

در ماه سپتامبر، مایکروسافت فاش کرد که مسائل دیگری را شناسایی کرده است که عامل تهدید مرتبط با چین ردیابی شده با عنوان Storm-0558 را قادر می‌سازد تا حساب‌های ایمیل ابری مقامات آمریکایی را در معرض خطر قرار دهد.

• حمله روز صفر به چه معناست؟

در یک پست وبلاگی، این غول فناوری فاش کرد که یک نقص باعث شده است که یک کلید اکتیو دایرکتوری Azure که در سازش استفاده می‌شد، به‌طور نامناسبی در فایلی به دنبال خرابی سیستم ویندوز در سال 2021 ذخیره شود. نقص دیگری منجر به وجود نداشتن کلید شد. مایکروسافت گفت شناسایی شد.

علاوه بر این، به گفته این شرکت، عامل تهدید در پشت این نقض تنها از طریق به خطر انداختن حساب شرکتی متعلق به یک مهندس مایکروسافت می‌توانست به فایل حاوی کلید دسترسی پیدا کند.

پیش از این، مایکروسافت گفته بود که از کلید دزدیده شده Azure Active Directory برای جعل توکن‌های احراز هویت و دسترسی به ایمیل‌های 25 سازمان مورد سوء استفاده قرار گرفته است.

در اواسط اکتبر، یک کمپین علیه مشتریان Cisco IOS XE به سرعت به یکی از گسترده‌ترین Edge attacks تبدیل شد. به گفته محققان Censys، نزدیک به 42000 دستگاه سیسکو از طریق اکسپلویت یک آسیب پذیری حیاتی IOS XE که در 16 اکتبر کشف شد، در معرض خطر قرار گرفتند.

سیسکو اظهار داشت که آسیب پذیری روز صفر در IOS XE شاهد “بهره برداری فعال” توسط مهاجمان بود. این آسیب‌پذیری حداکثر امتیاز، ۱۰.۰ از ۱۰.۰ را از سیسکو دریافت کرد. تیم اطلاعاتی تهدید Talos سیسکو گفت که بهره برداری از این آسیب پذیری حیاتی می تواند به یک عامل مخرب اجازه دهد تا کنترل کامل دستگاه در معرض خطر را به دست آورد.

پلتفرم نرم افزار شبکه IOS XE توسط تعداد زیادی از دستگاه های سیسکو استفاده می شود که بسیاری از آنها معمولاً در محیط های لبه مستقر می شوند. اینها عبارتند از روترهای شعبه، روترهای صنعتی و روترهای تجمع و همچنین نقاط دسترسی Catalyst 9100 و کنترلرهای بی سیم Catalyst 9800 “آماده اینترنت اشیا”.

در 23 اکتبر2023 ، سیسکو اولین مورد از یک سری پچ ها را برای رفع آسیب پذیری حیاتی IOS XE منتشر کرد.