گروه های باج افزاری مختلف که پورت پروتکل دسترسی از راه دور دسکتاپ RDP را هدف قرار می دهد توسط آزمایشگاه Cyble Research and Intelligence گزارش شده اند.
کاربران با استفاده از RDP می توانند به کامپیوترهای شبکه از راه دور متصل شده و آنها را مدیریت کنند. سازمانها اغلب اجازه دسترسی از طریق این قابلیت به سیستم های درون شبکه خود را می دهند.
اگر پورت RDP روی اینترنت باز بماند، منجر به رخ دادن مسائل امنیتی حیاتی خواهد شد. مهاجمان می توانند به سرعت با جستجو در اینترنت کامپیوترهایی با پورت RDP باز را پیدا کرده و تلاش کنند تا با استفاده از حفره های امنیتی، وارد سیستم های مذکور شوند.
“بعد از به دست آوردن دسترسی، مهاجم می تواند اطلاعات محرمانه را از روی سیستم سرقت کرده و حتی برنامه های مخربی مثل باج افزارها را به سایر سیستم های درون شبکه توزیع کند.”
خانواده باج افزارهایی که پورت های RDP باز را هدف خود قرار می دهند:
محققان باج افزار Redmeer را شناسایی کرده اند که یک باج افزار بر مبنای C/C++ است و سیستم های ویندوزی را هدف خود قرار می دهند. پس از اجرا، این باجافزار سیستم قربانی را رمزنگاری میکند و یادداشت باج «Read Me.TXT» را روی آن قرار می دهد.
در سال 2022 باج افزار NYX شناسایی شد. این باج افزار با زبان C/C++ نوشته شده است. یادداشت باج، فایل 000 NYX READ ME”.text و .hta می باشد. به علاوه محققین آزمایشگاه می گویند که این باج افزار اطلاعات سیستم قربانی را قبل از رمزنگاری به سرقت می برند و احتمالا از روش Double Extortion استفاده می کند.
در نیمه دوم نوامبر 2022، باج افزاری با نام Vohuk and Amelia شناسایی شد. این باج افزار فایل ها را رمزنگاری می کند و اسم آنها به یک رشته تصادفی تغییر می دهد و به آنها پسوند .Vohuk را اضافه می کند. به علاوه تصویر زمینه و آیکون فایل را هم تغییر میدهد.
یک بدافزار جدید بنام BlackHunt نیز مشاهده شده که پورتهای RDP را هدف قرار میدهد. برای رمزگشایی فایلها، از قربانی میخواهد که دستورات داخل یادداشت باج ReadMe را دنبال کند.
صحبت آخر
مهاجمان سایبری به طور مداوم در جستجوی آسیب پذیری ها، داراییهای افشا شده که میتوانند مورد بهره برداری قرار بگیرند، هستند و از آنها سوءاستفاده می کنند.
Bluekeep(CVE-2019-0708) آسیب پذیری ای شناخته شده که بیشترین مورد بهره برداری را داشته است. در حقیقت آسیب پذیری Bluekeep همچنان وجود دارد و اکثر پورت های RDP از طریق اینترنت در معرض خطر هستند.
مقدار قابل توجهی از دسترسی های RDP در Dark web فروخته می شود، که نشان می دهد TAها ممکن است به زودی به طور تهاجمی از دسترسی سرقت شده برای راه اندازی حملات باج افزاری استفاده کنند.
پس مثل همیشه پیشنهاد می کنیم، نصب وصله های منتشر شده برای سیستم عامل و اپلیکشن های خود را اولویت قرار داده و از ابزارهای مدیریت وصله استفاده کنید ( بدین منظور می توانید برای راهنمایی بیشتر با همکاران ما در پانا، تماس حاصل فرمایید) و برای دسترسی به سیستم های درون شبکه بجای استفاده از RDP از راهکارهای مطمئن استفاده نمایید.
منبع :https://cybersecuritynews.com