Ragnarok Ransomware به Citrix ADC حمله می کند ، مدافع متوقف می شود | IT متولد می شود

[English] این در حال حاضر پنجمین دوازدهم برای سرپرستان است که از دستگاه های بی سیم Citrix ADC / Netscaler استفاده می کنند. باج افزار Ragnarok به نصب های ناتمام Citrix ADC حمله می کند و می تواند Windows Defender را متوقف کند.

Citrix ADC: The Shitrix Problem

در واقع ، همه این موارد تاکنون مشکلی نداشته باشند ، از حدود 17 دسامبر 2019. آسیب پذیری شناخته شده CVE-2019-19781 به طور عمومی در Citrix ADC گزارش شده است (کنترل برنامه تحویل برنامه ، قبلاً Netscaler) در موعد مقرر (24 دسامبر 2019) در پست "آسیب پذیری در محصولات شرکت سیتریکس در معرض خطر شبکه های شرکت".

و در تمام کانال ها و همچنین در اینجا در وبلاگ هشدارهای امنیتی زیادی وجود داشت زیرا اثبات سوء استفاده از مفهوم علنی شد. و برخی از کاربران سیتریکس که پاسخ ندادند احتمالاً مورد ضرب و شتم قرار گرفتند (رجوع کنید به سایبراتاکی: گدیا و پوتسدام ، قربانی تصادف شیتریکس (اشکال Citrix Netscaler)؟). در همین حال ، Citrix برای رفع آسیب پذیری در کلیه محصولات آسیب دیده ، بروزرسانی های سیستم عامل را منتشر کرده است ، و یک اسکنر برای تست وجود دارد (به Citrix Security Vulnerability: New Updates و Scanner for Test مراجعه کنید).

Ragnarok Ransomware به Citrix ADC

حمله می کند اکنون مجرمان سایبری احتمالاً از اولین باج افزار برای سوءاستفاده از آسیب پذیری سیتریکس ADC استفاده می کنند. Ransomware که محققان امنیتی Ragnarok می نامند ، می تواند Windows Defender را در رایانه های ویندوز غیرفعال کند. من در مورد این داستان از طریق صدای جیر جیر زیر از همکار لارنس & Abrams مطلع شدم.

حملات راگناروک Ransomware به خودتان هستید ADC کردن ویندوز مدافع – به LawrenceAbrams https://t.co/Kxi70LpL49

– BleepingComputer (BleepinComputer) 2020 ژانویه 28 R [19659009JeśliintruzomudasięzaatakowaćurządzenieCitrixADCróżneskryptysąpobieraneiuruchamianeTeskryptyprzeszukująsiećskompromitowanegoCitrixADCwposzukiwaniukomputerówzsystememWindowspodatnychnausterkęEternalBlue

در صورت شناسایی چنین رایانه ای ، اسکریپت ها سعی می کنند از آسیب پذیری ها در ویندوز استفاده کنند و در صورت موفقیت ، DLL را به سیستم عامل تزریق کنند. پس از راه اندازی ، DLL باج افزار Ragnarok را بارگیری می کند و آن را بر روی رایانه نصب می کند. سپس پرونده ها رمزگذاری شده و باج خواسته می شود.

پس از آنكه مدیر SentinelLabs ویتالی كرمز فایل پیكربندی ransomware Ragnarok را استخراج كرد ، وی چندین ویژگی جدید و غیرمعمول را كشف كرد.

2020-01-25: #Ragnarok #Ransomware
#Citrix # CVE201919781 بهره برداری

Cfg:
1⃣ Def Defender ] 2⃣cmd_shadow | چکمه | بهبودی firewall
3⃣no_name * Unix Setup
4⃣except_language – Anti-CIS + China

h / t malwrhunterteam
-> https://t.co/2dyStlYZwh com / VhOCa47OJJ

– Vitali Kremez (VK_Intel) 25 ژانویه 2020

با توجه به صدای جیر جیر فوق ، باج افزار می تواند ویندوز مدافع را از طریق ثبت رجیستری غیرفعال کند – اما پس محافظت از دفیبریلاتور در سیستم ویندوز 10 دیگر کار نمی کند.

همچنین جالب است که باج افزار سیستم هایی را از حوزه نفوذ روسیه و از چین رمزگذاری نمی کند. برخی کشورها با استفاده از شناسه ویندوز حذف می شوند.

Ransomware نه تنها پرونده های موجود را رمزگذاری می کند ، بلکه نسخه هایی از حجم در پس زمینه را حذف می کند ، تعمیر ویندوز و فایروال ویندوز را غیرفعال می کند. هنوز مشخص نیست که چرا می توانید در باج افزارها به منابع دایرکتوری لینوکس مراجعه کنید. می توانید نصب های Citrix متقابل پلت فرم (یونیکس / ویندوز) را بپوشانید. جزئیات بیشتر که فقط هنگام تجزیه و تحلیل یک حادثه سایبری مرتبط هستند را می توان در Bleeping Computer یافت.

عناصر مشابه:
آسیب پذیری در محصولات Citrix شبکه های شرکت های بزرگ را تهدید می کند
اطلاعات امنیتی (3.1.2020)
بهره برداری از آسیب پذیری Citrix ADC / Netscaler CVE-2019-19781
هشدار : پیشرفت های بیشتر در Citrix-Netscaler
اصلاحات در Citrix ADC / Netscaler 11.1 / 12.0 موجود (19.1.2020)
آسیب پذیری در Citrix: بروزرسانی های جدید و اسکنرها برای آزمایش
حمله ransomware به تأمین کننده خودرو Gedia
گلدان آفلاین – ناسازگاری ها باعث خاموش شدن سرور می شوند
حملات سایبری: قربانیان فاجعه Shitrix در گدیا و پوتسدام (اشکال Citrix Netscaler)؟