سرپرست معاونت رادیویی رگولاتوری: فعال نشدن 5G در گوشیهای وارداتی روند رجیستری آنها را تغییر میدهد
سرپرست معاونت امور رادیویی سازمان تنظیم مقررات و ارتباطات رادیویی از الزام برندهای مختلف تلفن…
۱۱ آذر ۱۴۰۳
۱۳ تیر ۱۴۰۰
زمان مطالعه : ۵ دقیقه
مسئولان سایبری آمریکا در حال ردیابی یک حمله بزرگ باج افزاری در آمریکا هستند. این حمله توسط همان گروهی انجام گرفته که بهار امسال عرضهکننده غذای JBS را هدف گرفته بود. اینبار بدافزار REvil تعداد زیادی از شرکتهای مدیریت آیتی را هدف گرفته و مشتریان این شرکتها تحت تاثیر قرار گرفتهاند.
به گزارش پیوست، به گفته متخصصان امنیت سایبری، این گروه تبهکار سایبری که احتمالا از اروپای شرقی یا روسیه فعالیت میکند، فروشنده نرمافزاری به نام کاسیا (Kaseya) را هدف گرفته که محصولاتش در شرکتهای مدیریت آیتی استفاده میشود.
کایل هانسلوان (Kyle Hanslovan)، مدیرعامل شرکت امنیت سایبری هانترس لب (Huntress Labs) میگوید: «تازهترین حملات باجافزاری تا همین امروز حداقل 12 شرکت پشتیبانی آیتی که به ابزارهای مدیریت کاسیا به نام VSA وابسته هستند را تحت تاثیر قرار داده است.» طبق گفته او در تازهترین حمله، مهاجمان 5 میلیون دلار باج تقاضا کردهاند.
به گفته هانسلوان این حادثه نه تنها شرکتهای مدیریت آیتی، بلکه تمامی مشتریهای آنها که مدیریت آیتی را به عهده این شرکتها گذاشته بودند را تحت تاثیر قرار داده است. طبق برآورد او، هزار کسبوکار کوچک و متوسط تحت تاثیر این هک قرار میگیرند اما او میگوید فقط سه و نیم ساعت گذشته و ما هنوز از میزان گستره آن مطلع نیستیم.
مجرمان سایبری در ماههای اخیر چندین مرتبه سازمانهایی که نقش مهم در اقتصاد آمریکا دارند را هدف حمله قرار دادهاند. حملهای گسترده به خط لوله کولونیال در ماه می باعث شد تا ارسال سوخت به پمپ بنزینهای کرانه شرقی با مشکل مواجه شود و قیمت سوخت در این مناطق افزایش یافت. حمله سایبری JBS نیز تمام 9 کارخانه پردازش گوشت این شرکت در آمریکا را موقتا تعطیل کرد.
افزایش تعداد حملات در ماههای اخیر باعث شده تا متخصصان سایبری درمورد وضعیت فعلی هشدار دهند.
جوی تایدی (Joe Tidy)، گزارشگر موضوعات سایبری بیبیسی میگوید: «دو موضوع بزرگی که ذهن متخصصان امنیت سایبری را درگیر کرده، حملات باج افزاری و حملات زنجیره عرضه است. ترکیب این دو با هم کابوس بزرگی است.»
باج افزارها آفت اینترنت هستند و چندین گروه سازمان یافته تبهکاری دائما به شبکههای کامپیوتری دسترسی یافته و از آن به عنوان گروگانی برای باج گرفتن استفاده میکنند.
کریستوفر کربز، رئیس سابق آژانس امنیت سایبری و زیرساخت از زیرمجموعههای اداره امنیت ملی آمریکا میگوید: «اگر شما از VSA کاسیا استفاده میکنید، همین حالا تا زمان راهاندازی مجدد و پاسخ به ماجرا، این نرمافزار را خاموش کنید.»
آژانس امنیت سایبری و زیرساخت نیز در بیانیهای جداگانه اعلام کرد که در حال بررسی و رفع این مشکل است.
کاسیا در یک پست وبلاگی اعلام کرد که سرورهای ابری خود را خاموش کرده و در حال بررسی حادثه VSA است.
کاسیا میگوید: «ما در حال بررسی حمله احتمالی به VSA هستیم که نشان میدهد این حمله تعداد کمی از مشتریان حضوری ما را تحت تاثیر قرار داده است. ما سرورهای SaaS را خیلی زود و به دلیل احتیاط خاموش کردیم.»
شرکت امنیت سایبری امسیسافت (Emsisoft) این نرمافزار مخرب را بررسی کرده و این بررسی نشان میدهد که REvil، گروه باج افزاری که مسئولان آمریکایی، آنها را مسئول حمله به شرکت غذایی JBS میدانند، این نرمافزار را تولید کردهاند.
هانسلوان میگوید: «سه شرکت از ارائه دهندگان خدمات آیتی از جمله مشتریان شرکت امنیت سایبری هانترس لب هستند.» او ادامه میدهد: «حالا دانش مستقیمی درمورد آن داریم و تایید کردیم که واقعا کار REvil است.»
به گفته هانسلوان، 200 مشتری شرکتهای ارائه دهنده خدمات آیتی تحت تاثیر این بدافزار قرار گرفتهاند.
این بدافزار به نظر در VSA کاسیا مخفی شده و از آنجایی که شرکتهای مدیریت آیتی از VSA برای ارائه بهروزرسانی به مشتریان استفاده میکنند، این بدافزار به شرکتهای مشتری نیز نفوذ کرده است.
حمله این چنین به زنجیره عرضه، همانند تاکتیکی است که هکرهای روسی در حملات سولار ویندوز از آن استفاده کردند اما در این حمله نرمافزار آلوده به جای جاسوسی، برای دزدی استفاده شد.
تایدی میگوید هکرها در حملات اخیرشان نشان دادند که با حمله عرضهکنندگان نرمافزاری، دهها یا حتی صدها قربانی میگیرند. ما پیش از این هم شاهد حملات زیادی به زنجیره عرضه بودیم اما این حمله جدید احتمالا بزرگترین حمله با استفاده از باجافزار محسوب میشود.
به نظر میرسد که گنگهای باجافزاری یک رویکرد خلاق را در پیش گرفته به دنبال آن هستند که چطور بیشترین تاثیر را گذاشته و بزرگترین باج را تقاضا کنند.
دنیل ترانر، مسئول ارشد امنیت در شرکت امنیت سایبری اکسونیوس (Axonius) میگوید: «افزایش تنوع زیرساخت و ابزارهایی که برای مدیریت و امنیت آن استفاده میکنیم باعث شده تا حملات زنجیره عرضه این چنینی به هدف جذابی برای مهاجمان تبدیل شوند و مدیریت آن برای تیمهای امنیتی و آیتی مشکلساز شود. در این موارد که البته هنوز در مراحل اولیه است، به نظر میرسد مهاجمان از روابط بالای MSP (شرکتهای ارائهدهنده خدمات مدیریت شده) برای بیشترین تاثیرگذاری به ویژه درست قبل از تعطیلات آخر هفته در آمریکا استفاده کردهاند.»
مسئولان امنیت سایبری دولت آمریکا و شرکت کاسیا از مشتریان و قربانیان احتمالی خواستهاند تا سریعا سرورهای VSA را خاموش کنند.
شرکت خصوصی کاسیا میگوید که دفتر اصلی آن در شهر دوبلین ایرلند و دفتر مرکزی آن در آمریکا در میامی قرار دارد. روزنامه میامی هرالد به تازگی این شرکت را «یکی از قدیمیترین شرکتهای تکنولوژی میامی» توصیف کرد و در این گزارش گفت که کاسیا قصد دارد تا سال 2022، پانصد کارمند را برای پلتفرم امنیت سایبری جدیدش استخدام کند.