نوشته شده در دیدگاه‌تان را بنویسید

حمله باج افزار به بیمارستانی در آلمان منجر به مرگ یک بیمار شد

فردی که در وضعیت اورژانسی قرار داشت، پس از مجبور شدن به انتقال به بیمارستان دیگری به دلیل حمله باج افزار، درگذشت.

در تاریخ ۱۰ سپتامبر ، بیمارستان دانشگاه دوسلدورف (UKD) در آلمان پس از آنکه مهاجمان با استفاده از شبکه و بهره جویی از آسیب پذیری نرم افزار در “یک نرم افزار الحاقی تجاری که در بازار رایج است و در سراسر جهان استفاده می شود” ، نفوذ کردند با حمله باج افزار روبرو شد.

طبق گزارش آژانس امنیت سایبری آلمان Bundesamt für Sicherheit in der Informationstechnik (BSI) ، مهاجمان از آسیب پذیری Citrix ADC CVE-2019-19781 بهره برداری کردند  .

BSI  در بیانیه ای اعلام کرد: “در این زمینه ، BSI تأکید می کند که یک آسیب پذیری (CVE-2019-19781) که از ژانویه ۲۰۲۰ در محصولات VPN از Citrix برای حملات سایبری مورد سو استفاده قرار گرفته است ، شناخته شده است .”

وصله های آسیب پذیری Citrix ADC از ژانویه ۲۰۲۰ در دسترس است.

با اختلال در سیستم های فناوری اطلاعات ،  بیمارستان اعلام کرد  که درمان های برنامه ریزی شده و سرپایی و مراقبت های فوری در بیمارستان امکان پذیر نیست.

در عوض کسانی که به دنبال مراقبت های اورژانسی بودند برای درمان به بیمارستان های دورتر منتقل شدند.

یادداشت های باج باقیمانده روی سرورهای رمزگذاری شده بیمارستان به اشتباه به دانشگاه هاینریش هاینه ارسال شده است ، نه خود بیمارستان.

پس از اینکه پلیس با عوامل تهدید تماس گرفت و توضیح داد که آنها یک بیمارستان را رمزگذاری کرده اند ، اپراتورهای باج افزار درخواست باج را پس گرفتند و کلمه رمزگشایی را ارائه دادند.

رسانه یآلمانی NTV گزارش داد: “پلیس دوسلدورف با باج خواهان تماس گرفت و به عوامل آن اطلاع داد که یک بیمارستان – و نه دانشگاه – تحت تأثیر حمله هکری آنها قرار گرفته است. و بیماران را در معرض خطر جدی قرار می دهد. سپس هکرها باج خواهی را لغو و یک کلید دیجیتالی را تحویل دادند. داده ها می توانند دوباره رمزگشایی شوند “.

از زمان دریافت کلید ، بیمارستان به آرامی سیستم های خود را بازیابی می کند و تحقیقات نشان می دهد که داده ها به سرقت نرفته اند.

بیمار پس از اجبار به انتقال به بیمارستان دیگری می میرد

پس از عدم امکان پذیرش بیمار اوژانسی در اورژانس بیمارستان دانشگاه دوسلدورف ، بیمار در وضعیت خطرناک به بیمارستان دورتر در ووپرتال هدایت شد.

این اختلال منجر به مراقبت از بیمار در یک ساعت بعد شد که ممکن است منجر به مرگ وی شده باشد.

به دلیل مرگ بیمار ، دادستان های آلمان در حال بررسی این مسئله هستند که آیا این حمله باید به عنوان یک قتل غیرعمد تلقی شود.

برخی از باج افزارها اعلام می کنند که به مراقبت های بهداشتی حمله نخواهند کرد

در ابتدای شیوع ویروس کرونا ویروس ، اپراتورهای باج افزار CLOP ، DoppelPaymer ، Maze و Nefilim اظهار داشتند که بیمارستانها را هدف قرار نخواهند داد و اگر یکی به اشتباه رمزگذاری شود ، یک کلید رمزگشایی رایگان ارائه می دهند.

اپراتورهای باج افزار DoppelPaymer گفتند: “اگر این کار را به اشتباه انجام دهیم – رمزگشایی رایگان را ارائه خواهیم کرد.”

Netwalker همچنین اظهار داشت که آنها بیمارستانها را هدف قرار نمی دهند ، اما گفت که اگر آنها تصادفی یکی را رمزگذاری کنند ، بیمارستان همچنان باید باج را پرداخت کند.

Netwalker گفت: “اگر کسی رمزگذاری شده باشد ، پس باید هزینه رمزگشایی را پرداخت کند.”

حتی هنوز هم ، پس از دادن این وعده ها ، ما شاهد حمله مهاجمان به بیمارستان ها هستیم بدون اینکه هیچ گونه نگرانی در مورد سلامتی بیماران قربانی خود داشته باشند.

بازنشر مطالب این وبسایت صرفا با ذکر منبع و آدرس کامل مجاز میباشد.

وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
https://t.me/pedram_kiani
ادرس ایمیل:
admin@ics-cert.ir
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti
وبسایت:
https://ics-cert.ir

نوشته شده در دیدگاه‌تان را بنویسید

هشدار امنیتی‌ زیرساخت: بدافزار Drovorub

دفتر تحقیقات فدرال (FBI) و آژانس امنیت ملی (NSA) هشدار امنیتی مشترکی را منتشر کرده اند که حاوی جزئیات فنی در مورد قطعه جدید Linux malware ، ردیابی شده به عنوان Drovorub است ، که گفته می شود با گروه APT28 روسیه مرتبط است.
گفته می‌شود Drovorub یک ابزار malware در لینوکس است که از یک نفوذ همراه با یک ماژول kernel rootkit ، یک ابزار انتقال فایل و انتقال پورت و یک سرور Command and Control (C2) تشکیل شده است.

در هنگام نصب در دستگاه قربانی ، Drovorub (مشتری) امکان ارتباط مستقیم با زیرساخت C2 کنترل شده را فراهم می کند. قابلیت دانلود و بارگیری فایل؛ اجرای دستورات دلخواه به عنوان “ریشه”؛ و انتقال پورت ترافیک شبکه به میزبان دیگر شبکه برخی از توانایی های این بدافزار می‌باشد.
برای کسب اطلاعات تکمیلی و مطالعه کامل مستند و راهکارهای رفع آلودگی‌به آدرس زیر مراجعه کنید:
https://t.me/linux_news/643

👮‍♀️👮‍♀️ بازنشر مطالب این وبسایت صرفا با ذکر منبع و آدرس کامل مجاز میباشد.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
https://t.me/pedram_kiani
ادرس ایمیل:
admin@ics-cert.ir
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti
وبسایت:
https://ics-cert.ir

نوشته شده در دیدگاه‌تان را بنویسید

اسرائیل فروش نرم‌افزار جاسوسی به کشورهای خلیج فارس را «تسهیل کرده است»

یک گزارش که به تازگی منتشر شده است نشان می‌دهد مقامات دولت اسرائیل برای فروش محصولات یک شرکت تولید نرم‌افزارهای جاسوسی به کشورهای حاشیه خلیج فارس بازاریابی کرده‌اند.

برطبق خبر روزنامه هاآرتص چاپ تل‌آویو، چهره‌های دولتی اسرائیل شخصا واسطه شده‌اند و شرکت اسرائیلی تولید ابزارهای جاسوسی (NSO) را به دست‌کم دو کشور عربستان سعودی و امارات عربی متحده معرفی کرده‌اند.

گفته می‌شود این شرکت قراردادهایی را به ارزش سالانه صدها میلیون دلار با کشورهای حاشیه خلیج فارس از جمله بحرین، عمان، عربستان سعودی و دو امیرنشین راس‌الخیمه و ابوظبی در امارات عربی متحده به امضا رسانده است. تنها یک قرارداد از این مجموعه ارزشی بالغ بر ۲۵۰ میلیون دلار داشته است.
بنابر اخبار درز کرده، مقامات اسرائیلی شخصا در جلسات معرفی این شرکت به دستگاه‌های امنیتی کشورهای حاشیه خلیج فارس، که بعضا در خاک اسرائیل تشکیل شده است، حضور داشته‌اند.
خبر عقد قرارداد امنیتی میان اسرائیل و امارات تنها چند روز پس از آن منتشر می‌شود که دو کشور توافقی تاریخی را برای ایجاد روابط دیپلماتیک امضا کردند.
شرکت NSO در سال ۲۰۰۸ و بوسیله کسانی که گفته می‌شود اعضای سابق یگان ۸۲۰۰ سازمان اطلاعاتی اسرائیل بودند بنیان گذاشته شد.

گمان می‌رود نرم‌افزار جاسوسی پگاسوز (Pegasus)، محصول شرکت NSO، که به صورت انحصاری تنها به دستگاه‌های دولتی فروخته می‌شود نقشی مهم در هک تلفن‌های همراه فعالان و مخالفان سیاسی در کشورهای حاشیه خلیج فارس داشته باشد. این نرم‌افزار می‌تواند محتویات گوشی را ضبط کند و همچنین کنترل میکروفن و دوربین آن را به دست بگیرد.
در سال ۲۰۱۶ آزمایشگاه تحقیقاتی «سیتیزن لب» در کانادا فاش کرد که ابزار جاسوسی موسوم به «پگاسوز» در ردیابی احمد منصور فعال حقوق بشر اماراتی به کار گرفته شده و مقدمات دستگیری او را با نفوذ به آیفون شخصی‌اش فراهم کرده است.
احتمال داده می‌شود تلفن همراه جمال خاشقچی، روزنامه‌نگار سعودی‌ که در کنسولگری عربستان سعودی در ترکیه به قتل رسید، توسط نرم‌افزار جاسوسی پگاسوز هک شده باشد.

پیام‌رسان واتس‌اپ که زیر مجموعه شرکت فیسبوک است، در اکتبر سال گذشته از شرکت اسرائیلی NSO به دلیل کمک‌هایش به جاسوسان دولتی برای هک ۱۴۰۰ تلفن همراه در چهار قاره شکایت کرده بود. این تلفن‌های همراه متعلق به دیپلمات‌ها، مخالفان سیاسی، روزنامه‌نگاران و مقامات رسمی بوده‌اند.
همچنین سازمان عفو بین‌الملل نیز که خود در گذشته هدف حملات سایبری با استفاده از نرم‌افزارهای این شرکت قرار گرفته است، گفته بود شواهدی وجود دارد که دولت‌ها در سراسر جهان از این نرم‌افزارها برای زیرنظر گرفتن فعالان و روزنامه‌نگاران استفاده می کنند.
عفو بین‌الملل همچنین شکایتی به دادگاهی در اسرائیل تسلیم کرده است تا مجوز «گروه ان‌اس‌او» لغو شود.

👮‍♀️👮‍♀️ بازنشر مطالب این وبسایت صرفا با ذکر منبع و آدرس کامل مجاز میباشد.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
https://t.me/pedram_kiani
ادرس ایمیل:
admin@ics-cert.ir
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti

نوشته شده در دیدگاه‌تان را بنویسید

گوگل برای ردیابی کاربران ۵ میلیارد دلار غرامت پرداخت می کند

تصویر
Google اطلاعات محرمانه کاربر را حتی وقتی در حالت ناشناس قرار دارد جمع می کند.

دادستان دادگاه فدرال در سن خوزه (کالیفرنیا) دادخواستی علیه گوگل تشکیل داد و این غول فناوری را به نقض حریم خصوصی میلیون ها کاربر بدون اطلاع آنها متهم کرد. این شرکت متهم به ردیابی محل کاربران و جمع آوری اطلاعات محرمانه ، حتی در صورت استفاده از حالت ناشناس است.

طبق این شکایت ، Google بدون توجه به اینکه کاربر روی پیوندهای تبلیغاتی که توسط آن منتشر شده است ، اطلاعاتی را در مورد وب سایت های بازدید شده و سایر اطلاعات شناسایی از طریق Google Analytics ، Google Ad Manager و افزونه ها ، از جمله برنامه های تلفن هوشمند جمع آوری می کند.

هنگامی که یک کاربر اینترنت از یک صفحه وب بازدید می کند یا یک برنامه را با استفاده از خدمات Google باز می کند ، اطلاعات شخصی وی از جمله آدرس IP ، سابقه مرور و اطلاعات مربوط به دستگاه مورد استفاده ، به سرورهای این شرکت در کالیفرنیا ارسال می شود. این فرآیند تقریباً همیشه بدون اطلاع کاربر انجام می شود ، زیرا گوگل نیازی به وب سایت ها ندارد تا از قبل درباره جمع آوری اطلاعات هشدار دهند.

این شکایت می گوید: “اقدامات Google نقض حریم خصوصی کاربران است ، و عمدا باعث فریب مصرف کنندگان می شود، به Google و کارمندانش فرصت می دهد تا اطلاعات خصوصی درباره زندگی افراد ، علایق آنها و استفاده از اینترنت را بیاموزند.”

از آنجا که دادخواست اقدامی جمعی است ، تعداد شاکیان می توانند به چندین میلیون کاربر گوگل برسند. و گوگل بایستی به هرکدام از قربانیان مبلغ حداقل ۵ هزار دلار غرامت پرداخت کند.

این دومین دادخواست علیه Google در یک ماه گذشته است. به عنوان مثال ، مارک برنوویچ ، دادستان کل ایالت آریزونا ، پیش از این غول فناوری را به جمع آوری غیرقانونی داده های جغرافیایی از کاربران دستگاه های اندرویدی متهم کرد .

نوشته شده در دیدگاه‌تان را بنویسید

اخطار – دو نقص روز صفر که بر روی کلیه نسخه های ویندوز تأثیر می گذارد

امروز مایکروسافت به میلیاردها کاربر هشداردهنده امنیتی جدید برای دو آسیب پذیری مهم و غیرقابل رفع روز صفر منتشر کرد که به هکرها اجازه می دهد از راه دور کنترل کاملی بر روی رایانه های هدفمند داشته باشند.

طبق گفته مایکروسافت ، هر دو نقص در حملات محدود و هدفمند مورد استفاده قرار می گیرند و بر روی تمامی نسخه های پشتیبانی شده سیستم عامل ویندوز از جمله نسخه های ویندوز 10 ، 8.1 و سرور 2008 ، 2012 ، 2016 و 2019 و همچنین ویندوز 7 تأثیر می گذارند.
هر دو آسیب پذیری در کتابخانه Windows Adobe Type Manager قرار دارند ، یک نرم افزار تجزیه و تحلیل فونت که نه تنها وقتی که با یک نرم افزار شخص ثالث باز می شود ، محتوا را تجزیه می کند بلکه توسط Windows Explorer برای نمایش محتوای یک فایل در “پیش نمایش صفحه” یا “جزئیات” استفاده می شود.  

این نقص ها در Microsoft Windows وجود دارد هنگامی که کتابخانه Adobe Type Manager به طور نادرست “handles a specially-crafted multi-master font – Adobe Type 1 PostScript format,” دستکاری شود ، “به مهاجمین از راه دور اجازه می دهد تا با متقاعد کردن کاربر برای باز کردن ویژه ، کد مخرب دلخواه را روی سیستم های هدفمند انجام دهند.

مایکروسافت گفت: “برای سیستم هایی که نسخه های Windows 10  را استفاده می کنند ، یک حمله موفقیت آمیز فقط می تواند منجر به اجرای کد در یک بستر sandbox از AppContainer با امتیازات و قابلیت های محدود شود.”

در حال حاضر ، اگرچه مشخص نیست که آیا می توان با متقاعد کردن کاربر به بازدید از یک صفحه وب حاوی قلم های OTF مخرب مخصوص ساخت ، نقص ها را نیز از راه دور بر روی مرورگر وب ایجاد کرد ، اما چندین راه دیگر وجود دارد که یک مهاجم می تواند از این آسیب پذیری سوءاستفاده کند ، از جمله خدمات مشتری توزیع و تألیف توزیع شده (WebDAV).

هنوز وصله موجود نیست؛ راه حل را اعمال کنید

مایکروسافت اعلام کرد از این مسئله آگاه است و در حال کار بر روی وصله ای است که این شرکت به عنوان بخشی از به روزرسانی های بعدی Patch Tuesday ، یعنی چهاردهم آوریل ، برای همه کاربران ویندوز منتشر خواهد کرد.
این شرکت افزود: “پیکربندی امنیتی پیشرفته این آسیب پذیری را کاهش نمی دهد.”

راه حل های ارائه شده زیر را دنبال کنید:

1) صفحه پیش نمایش و صفحه جزئیات را در ویندوز اکسپلورر غیرفعال کنید

در همین حال ، به همه کاربران ویندوز بسیار توصیه می شود که ویژگی پیش نمایش صفحه و جزئیات صفحه در ویندوز اکسپلورر را غیرفعال کنند تا خطر هک شدن توسط حملات فرصت طلب را کاهش دهند .

برای غیرفعال کردن ویژگی پیش نمایش صفحه و جزئیات صفحه:

  • ویندوز اکسپلورر را باز کنید ، بر روی Organize کلیک کرده و سپس Layout را کلیک کنید.
  • هر دو گزینه جزئیات صفحه و گزینه پیش نمایش پنجره را پاک کنید.
  • بر روی Organize کلیک کنید و سپس بر روی گزینه Folder and search کلیک کنید.
  • روی برگه مشاهده کلیک کنید.
  • در زیر تنظیمات پیشرفته ، نمادهای نشان دادن همیشه نمایش ، جعبه تصاویر کوچک هرگز را علامت بزنید.
  • تمام موارد باز ویندوز اکسپلورر را ببندید تا این تغییر اعمال شود.


با این وجود ، لازم به ذکر است ، در حالی که این راه حل از مشاهده پرونده های مخرب در ویندوز اکسپلورر جلوگیری می کند ، هیچ گونه نرم افزاری را برای بارگیری کتابخانه تجزیه قلم آسیب پذیر متوقف نمی کند.

2) سرویس WebClient را غیرفعال کنید

علاوه بر این ، توصیه می شود سرویس Windows WebClient را غیرفعال کنید تا از طریق حملات سایبری از طریق سرویس مشتری WebDAV جلوگیری کنید.

  • بر روی Start کلیک کنید ، روی Run (یا Windows Key و R را روی صفحه کلید فشار دهید) ، Services.msc را تایپ کرده و OK را بزنید.
  • روی سرویس WebClient راست کلیک کرده و Properties را انتخاب کنید.
  • نوع Startup را به Disabled تغییر دهید. اگر سرویس در حال اجراست ، روی Stop کلیک کنید.
  • تأیید را کلیک کنید و از برنامه مدیریت خارج شوید.

“پس از استفاده از این راه حل ، هنوز هم برای مهاجمین از راه دور که با موفقیت از این آسیب پذیری سوء استفاده می کنند ، امکان پذیر است تا این سیستم برنامه هایی را که در رایانه کاربر هدفدار یا شبکه محلی (LAN)” (محلی) (LAN) اجرا می شود ، انجام دهد ، اما قبل از باز کردن دلخواه ، از کاربران خواسته می شود تا تأیید کنند. برنامه هایی از اینترنت ، “هشدار داده شده توسط مایکروسافت.

3) تغییر نام یا غیرفعال کردن ATMFD.DLL

مایکروسافت همچنین از کاربران می خواهد که تغییر نام پرونده Adobe Type Manager Font Driver (ATMFD.dll) را برای غیرفعال کردن موقت فناوری قلم تعبیه شده ، انجام دهند و این باعث می شود برخی از برنامه های شخص ثالث متوقف شوند.

دستورات زیر را در خط فرمان وارد کنید:

برای سیستم 32 بیتی:
cd “%windir%\system32”
takeown.exe /f atmfd.dll
icacls.exe atmfd.dll /save atmfd.dll.acl
icacls.exe atmfd.dll /grant Administrators:(F)
rename atmfd.dll x-atmfd.dll

برای سیستم 64 بیتی:
cd “%windir%\system32”
takeown.exe /f atmfd.dll
icacls.exe atmfd.dll /save atmfd.dll.acl
icacls.exe atmfd.dll /grant Administrators:(F)
rename atmfd.dll x-atmfd.dll
cd “%windir%\syswow64”
takeown.exe /f atmfd.dll
icacls.exe atmfd.dll /save atmfd.dll.acl
icacls.exe atmfd.dll /grant Administrators:(F)
rename atmfd.dll x-atmfd.dll

راه اندازی مجدد سیستم.

بازنشر مطالب این سایت صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین: https://t.me/pedram_kiani

آدرس ایمیل: admin@ics-cert.ir

کانال تلگرام: https://t.me/ics_cert

توییتر: https://twitter.com/icscerti