حملات باج افزار اکنون سرورهای WS_FTP بدون اصلاح را هدف قرار می دهند

سرورهای WS_FTP در معرض اینترنت وصله‌نشده در برابر آسیب‌پذیری با حداکثر شدت، اکنون هدف حملات باج‌افزاری قرار گرفته‌اند.همانطور که اخیراً توسط پاسخ دهندگان سوفوس X-Ops مشاهده شده است، عوامل تهدید که خود را گروه جنایات سایبری Reichsadler معرفی می کنند، تلاش کردند، بدون موفقیت، بارهای باج افزار ایجاد شده با استفاده از سازنده LockBit 3.0 را که در سپتامبر ۲۰۲۲ به سرقت رفته بود، مستقر کنند.

سرورهای WS_FTP در معرض اینترنت وصله‌نشده در برابر آسیب‌پذیری با حداکثر شدت، اکنون هدف حملات باج‌افزاری قرار گرفته‌اند.همانطور که اخیراً توسط پاسخ دهندگان سوفوس X-Ops مشاهده شده است، عوامل تهدید که خود را گروه جنایات سایبری Reichsadler معرفی می کنند، تلاش کردند، بدون موفقیت، بارهای باج افزار ایجاد شده با استفاده از سازنده LockBit 3.0 را که در سپتامبر ۲۰۲۲ به سرقت رفته بود، مستقر کنند.Sophos X-Ops گفت: “بازیگران باج افزار برای سوء استفاده از آسیب پذیری اخیراً گزارش شده در نرم افزار WS_FTP Server صبر نکردند.”

اگرچه نرم‌افزار Progress در سپتامبر ۲۰۲۳ اصلاحی را برای این آسیب‌پذیری منتشر کرد، اما همه سرورها وصله نشده‌اند. Sophos X-Ops تلاش‌های ناموفقی را برای استقرار باج‌افزار از طریق سرویس‌های اصلاح‌نشده مشاهده کرد.مهاجمان سعی کردند با استفاده از ابزار منبع باز GodPotato، امتیازات را افزایش دهند، که امکان افزایش امتیاز به ‘NT AUTHORITYSYSTEM’ در پلتفرم های کلاینت ویندوز (ویندوز ۸ تا ویندوز ۱۱) و سرور (ویندوز سرور ۲۰۱۲ تا ویندوز سرور ۲۰۲۲) را فراهم می کند.

خوشبختانه، تلاش آنها برای استقرار بارهای باج افزار بر روی سیستم های قربانی خنثی شد و مهاجمان از رمزگذاری داده های هدف جلوگیری کردند.با وجود اینکه نتوانستند فایل‌ها را رمزگذاری کنند، عوامل تهدید همچنان ۵۰۰ دلار باج می‌خواستند که تا ۱۵ اکتبر به وقت استاندارد مسکو قابل پرداخت است.تقاضای باج پایین نشان می دهد که سرورهای WS_FTP آسیب پذیر و در معرض اینترنت احتمالاً در حملات خودکار انبوه یا توسط یک عملیات باج افزار بی تجربه هدف قرار می گیرند.

باج نامه در حمله WS_FTP حذف شد (Sophos X-Ops)

این نقص که به‌عنوان CVE-2023-40044 ردیابی می‌شود، ناشی از یک آسیب‌پذیری deserialization دات‌نت در ماژول انتقال Ad Hoc است که به مهاجمان احراز هویت نشده اجازه می‌دهد تا دستورات را روی سیستم‌عامل اصلی از طریق درخواست‌های HTTP از راه دور اجرا کنند.در ۲۷ سپتامبر، Progress Software به‌روزرسانی‌های امنیتی را برای رفع آسیب‌پذیری مهم سرور WS_FTP منتشر کرد و از مدیران خواست تا نمونه‌های آسیب‌پذیر را ارتقا دهند.

Progress گفت: “ما توصیه می کنیم به بالاترین نسخه که ۸٫۸٫۲ است ارتقا دهید. ارتقا به نسخه اصلاح شده، با استفاده از نصب کننده کامل، تنها راه برای رفع این مشکل است.”محققان امنیتی Assetnote که باگ WS_FTP را کشف کردند، کد سوء استفاده اثبات مفهوم (PoC) را تنها چند روز پس از وصله آن منتشر کردند.”از تجزیه و تحلیل ما از WS_FTP، متوجه شدیم که حدود ۲٫۹ هزار میزبان در اینترنت وجود دارد که WS_FTP را اجرا می کنند (و همچنین وب سرور آنها در معرض دید قرار می گیرد، که برای بهره برداری ضروری است). بیشتر این دارایی های آنلاین متعلق به شرکت های بزرگ، دولت ها و موسسات آموزشی،” Assetnote گفت.

شرکت امنیت سایبری Rapid7 فاش کرد که مهاجمان در ۳۰ سپتامبر، روز انتشار اکسپلویت PoC، شروع به بهره برداری از CVE-2023-40044 کردند.Rapid7 هشدار داد: “زنجیره اجرای فرآیند در تمام نمونه های مشاهده شده یکسان به نظر می رسد، که نشان دهنده بهره برداری انبوه احتمالی از سرورهای آسیب پذیر WS_FTP است.”Shodan تقریباً ۲۰۰۰ دستگاه در معرض اینترنت را فهرست می کند که نرم افزار WS_FTP Server را اجرا می کنند و برآوردهای اولیه Assetnote را تأیید می کند.

سرورهای WS_FTP در معرض اینترنت (Shodan)

ازمان‌هایی که نمی‌توانند بلافاصله سرورهای خود را اصلاح کنند، می‌توانند با غیرفعال کردن ماژول انتقال موقت سرور WS_FTP آسیب‌پذیر، حملات دریافتی را مسدود کنند.مرکز هماهنگی امنیت سایبری بخش سلامت (HC3)، تیم امنیتی وزارت بهداشت ایالات متحده نیز ماه گذشته به سازمان‌های بخش بهداشت و سلامت و بهداشت عمومی هشدار داد که سرورهای خود را در اسرع وقت وصله کنند.Progress Software در حال حاضر با عواقب یک سری حملات سرقت داده گسترده که از یک باگ صفر روز در پلتفرم انتقال فایل امن MOVEit Transfer خود در اوایل سال جاری سوء استفاده کرده است، سر و کار دارد.این حملات بیش از ۲۵۰۰ سازمان و بیش از ۶۴ میلیون فرد را تحت تأثیر قرار دادند، همانطور که توسط Emsisoft تخمین زده شده است.