ملخص لأهم أحداث الأسبوع في عالم أمن المعلومات.
برامج الفدية الإلكترونية الجديدة ، والإضافات المهمة إلى ترسانات مجموعات المجرمين الإلكترونيين ، وهجمات مجموعة APT ، واختراق أجهزة التوجيه وخوادم Microsoft Exchange عبر نقاط الضعف المثيرة في ProxyShell و PetitPotam - اقرأ عن هذه الأحداث وغيرها في عالم أمن المعلومات في مراجعتنا.
بعد أقل من أسبوع من الحادث الذي وقع مع شركة الاتصالات الأمريكية T-Mobile ، تم طرح مجموعة من البيانات الشخصية التي يُزعم أنها تخص 70 مليون عميل من عملاء AT&T للبيع في أحد منتديات المتسللين. يبدأ سعر قاعدة بيانات AT&T من 200000 دولار ، مع إمكانية شراء أجزاء منها مقابل 30 ألف دولار. يمكن للمهتمين بشراء المجموعة بأكملها في وقت واحد القيام بذلك مقابل مليون دولار. وفقًا لجزء صغير من قاعدة البيانات المنشورة على منتدى القراصنة ، فإن المعلومات تتضمن أسماء العملاء والعناوين وأرقام الهواتف وتاريخ الميلاد وأرقام الضمان الاجتماعي.
أبلغ SecurityLab قبل أسبوع عن نقاط الضعف في Realtek SDK التي أثرت على مئات الآلاف من الأجهزة الذكية من 65 بائعًا. لقد تم الكشف الآن أن هذه الثغرات الأمنية يتم استغلالها بالفعل من قبل مشغلي الروبوتات المعروفة باسم DDoS botnet Mirai. وفقًا لشركة أمن المعلومات SAM ، بدأت الهجمات بعد ثلاثة أيام من نشر تفاصيل نقاط الضعف من قبل المتخصصين في شركة أمن المعلومات IoT Inspector.
بعد اختراق خوادم Microsoft Exchange باستخدام ثغرات ProxyShell سيئة السمعة والوصول إلى وحدة التحكم بالمجال باستخدام ثغرة PetitPotam ، تقوم مجموعة برامج الفدية الإلكترونية الجديدة LockFile بتشفير مجالات Windows. في الوقت الحالي ، لا يُعرف الكثير عن مجموعة برامج الفدية الإلكترونية LockFile. ظهرت برامج الفدية لأول مرة في يوليو 2021. وقد ترك ملاحظة فدية في ملف LOCKFILE-README.hta على الأنظمة التي هاجمها. ومع ذلك ، كانت هناك تقارير عن برنامج فدية يسمى LockFile منذ الأسبوع الماضي. عند تشفير الملفات ، يقوم برنامج الفدية بإلحاق ملف extension.lock باسم الملف.
أبلغ متخصصو Palo Alto Networks Unit 42 عن أربع مجموعات من برامج الفدية التي يمكن أن تشكل تهديدًا خطيرًا للمؤسسات والبنية التحتية الحيوية مرة واحدة. تشكل مجموعات LockBit 2.0 و HelloKitty و AvosLocker و Hive ، وفقًا للباحثين ، تهديدًا خطيرًا للمؤسسات والبنية التحتية الحيوية.
رداً على ذلك ، أصدر مكتب التحقيقات الفيدرالي الأمريكي أول إخطار عام ، والذي يوضح بالتفصيل أساليب الابتزاز في عمل المجموعات الشريكة. يعد المنشور المنشور لمكتب التحقيقات الفيدرالي خطوة مهمة في توضيح كيفية عمل النظام البيئي للجرائم الإلكترونية.
تم تنفيذ أكبر هجوم إلكتروني في البرازيل ، وهو سلسلة متاجر Lojas Renner للملابس ، باستخدام برامج ابتزاز. كانت بعض أنظمة تكنولوجيا المعلومات الخاصة بها غير متوفرة نتيجة للحادث. لم يكشف Lojas Renner عن أي تفاصيل حول الهجوم ، لكن إحدى المدونات البرازيلية تكهنت بأنه تم تنفيذه بواسطة مجموعة برامج الفدية الإلكترونية RansomExx.
أعلنت Ragnarok (Asnarök) ، مجموعة برامج الفدية الإلكترونية ، عن انتهاء عملياتها وأصدرت أداة مساعدة مجانية لاستعادة الملفات المشفرة. يوم الخميس ، 26 أغسطس ، تم نشر أداة فك تشفير مجانية مع مفتاح رئيسي مضمن لفك التشفير على بوابة الويب المظلمة للمجموعة ، حيث سبق لها أن نشرت بيانات الضحايا الذين رفضوا دفع الفدية. قام العديد من الباحثين الأمنيين بفحص أداة فك التشفير وتأكدوا من صحتها. يقومون حاليًا بإجراء تحليل مفصل للأداة بهدف إعادة كتابتها في إصدار آمن وسهل الاستخدام سيتم نشره على بوابة NoMoreRansom التابعة لليوروبول.
ناقش خبراء من Kaspersky Lab حملة قطارة طروادة واسعة النطاق تم اكتشافها في أبريل 2021. تم توزيع Swarez ، القطارة ، من خلال 15 لعبة فيديو شهيرة ، بما في ذلك Battlefield 4 و Battlefield V و Control و Counter-Strike Global Offensive و FIFA 21 و Fortnite ، Grand Theft Auto V ، Minecraft ، NBA 2K21 ، Need for Speed Heat ، PLAYERUNKNOWN'S BATTLEGROUNDS ، Rust ، The Sims 4 ، Titanfall 2. تم تسجيل محاولات تنزيل مثل هذه الملفات في 45 دولة ، بما في ذلك روسيا ، بواسطة منتجات الشركة.
اكتشف باحثو الأمن السيبراني في AT&T Alien Labs مجموعة من ثنائيات Linux ELF التي تم تحديدها على أنها تعديلات على الباب الخلفي مفتوح المصدر PRISM. على مدى السنوات الثلاث الماضية ، استخدم المهاجمون الباب الخلفي في عدة حملات.
حصلت FIN8 ، وهي مجموعة مجرمين إلكترونيين ذات دوافع مالية ، على باب خلفي جديد. وفقًا لخبراء Bitdefender ، اخترقت المجموعة شبكة كمبيوتر لمؤسسة مالية في الولايات المتحدة وركبت بابًا خلفيًا جديدًا من Sardonic. تم نشر الباب الخلفي وتنفيذه على الأنظمة التي تعرضت للهجوم في عملية من ثلاث خطوات باستخدام نص برمجي PowerShell ومحمل إقلاع .NET وكود قشرة محمل الإقلاع أثناء الهجوم على أحد البنوك في الولايات المتحدة. يتم نسخ نص PowerShell يدويًا إلى النظام المخترق ، وفقًا للباحثين ، بينما يتم تسليم برامج تحميل التشغيل تلقائيًا.
اكتشف خبراء الأمن السيبراني في ESET الباب الخلفي المعياري SideWalk الذي تستخدمه مجموعة APT تسمى SparklingGoblin. هذا الباب الخلفي مشابه جدًا للباب الخلفي CROSSWALK الذي تستخدمه المجموعة. تستهدف SparklingGoblin بشكل أساسي القطاع الأكاديمي في شرق وجنوب شرق آسيا ، لكنها أظهرت مؤخرًا اهتمامًا متزايدًا بالتعليم في كندا ، وشركات الإعلام في الولايات المتحدة ، وبائع تجزئة لأجهزة الكمبيوتر واحد على الأقل لم يذكر اسمه في الولايات المتحدة.
لا يخلو من تقارير أداة القرصنة الجديدة هذا الأسبوع من صانع برامج التجسس التجاري الإسرائيلي NSO Group. ناقش خبراء من مركز أبحاث Citizen Lab بجامعة تورنتو ثغرة أمنية غير معروفة سابقًا في نظام iOS يمكن استغلالها بنقرة واحدة في تقريرهم الجديد. وفقًا للتقرير ، تم استخدام نقطة ضعف تُعرف باسم FORCEDENTRY في هجمات ضد العديد من النشطاء والمعارضين في البحرين منذ فبراير 2021.
أفاد خبراء أمن المعلومات في Trend Micro أن مجرمي الإنترنت يستخدمون موضوع برنامج التجسس التجاري Pegasus من مجموعة NSO في حملات التصيد الاحتيالي. وفقًا للخبراء ، قامت مجموعة مجرمي الإنترنت كونفوشيوس مؤخرًا بحملة تصيد استهدفت الجيش الباكستاني. اكتشفت Trend Micro الحملة الخبيثة كجزء من تحقيق أكبر في كونفوشيوس.
رفع خبراء Intel 471 الغطاء عن كيفية عمل مجموعة ShinyHunters المجرمين الإلكترونيين ، المسؤولة عن سلسلة من تسريبات البيانات البارزة. وفقًا لتقرير Intel 471 الجديد ، تقوم المجموعة بفحص شفرة مصدر الشركة عن كثب في مستودعات GitHub بحثًا عن نقاط الضعف التي يمكن استغلالها لشن هجمات إلكترونية أكبر.
وفقًا للصحافية في قناة Fox News جاكي هاينريك ، التي استشهدت بمصدر ، فقد وقع هجوم إلكتروني على وزارة الخارجية الأمريكية.
وكتب الصحفي "تم اختراق وزارة الخارجية". ومضت لتقول إن هجوم القراصنة كان من الممكن أن يحدث "قبل أسبوعين". وبحسب الصحفي ، فقد أصدرت القيادة الإلكترونية في البنتاغون تحذيراً من حدوث خرق خطير محتمل. في الوقت نفسه ، ذكرت أن نطاق هجوم القراصنة ، وكذلك نطاق التحقيق في المجرمين المزعومين ، "لا يزال غير واضح". كما أنه من غير الواضح ما هي الخطوات التي تم اتخاذها للتخفيف من تأثير الهجوم السيبراني ، وكذلك ما هي "المخاطر الحالية للعمليات".
أعلن معارضو النظام السياسي في بيلاروسيا عن عملية إلكترونية جريئة ، نتج عنها اختراق العشرات من قواعد بيانات وزارة الشؤون الداخلية. على مدار الأسابيع القليلة الماضية ، نشر قراصنة يطلقون على أنفسهم اسم عصابات الإنترنت البيلاروسية جزءًا كبيرًا من البيانات المسروقة ، بما في ذلك المعلومات السرية ، وفقًا لما ذكروه. وفقًا لـ Bloomberg News ، تحتوي قاعدة البيانات على قوائم بمخبري وزارة الداخلية ، ومعلومات شخصية لكبار المسؤولين وضباط المخابرات ، وصور فيديو تم جمعها من طائرات بدون طيار للشرطة وكاميرات أمنية في السجون ، وحتى تسجيلات لمحادثات هاتفية سرية. علاوة على ذلك ، تتضمن المعلومات المسروقة تفاصيل حول المقربين من Alyaksandr Lukashenka والمخابرات "العليا".
0 تعليقات