بیشتر حملات سایبری بزرگ با یک رمز عبور سرقت‌شده آغاز می‌شوند

تیم واکنش اضطراری جهانی (GERT) و سرویس تشخیص و پاسخ مدیریت‌شده (MDR) کسپرسکی در تازه‌ترین گزارش خود با عنوان Anatomy of a Cyber World Global Report 2026 سه نمونه واقعی از حملات سایبری به سازمان‌ها را بررسی کرده‌اند؛ حملاتی که نشان می‌دهند مهاجمان همچنان با تکیه بر ضعف‌های شناخته‌شده، خسارت‌های گسترده‌ای به شرکت‌ها وارد می‌کنند.

یک حساب کاربری، نقطه شروع آلودگی کل سازمان

در نخستین نمونه، مهاجمان با سرقت اطلاعات ورود مدیر محلی یک شرکت در آمریکای لاتین، به سرور SMTP سازمان دسترسی پیدا کردند. سپس با استفاده از ابزار شناخته‌شده Mimikatz و تکنیک Pass-the-Hash سطح دسترسی خود را افزایش دادند.

در ادامه، با سوءاستفاده از یک درایور آسیب‌پذیر، باج‌افزار را در سراسر شبکه سازمان توزیع کردند و تمامی رایانه‌های متصل به شبکه را آلوده ساختند.

بررسی کسپرسکی نشان می‌دهد رایج‌ترین روش‌های نفوذ اولیه مهاجمان شامل حدس زدن رمز عبور (۳۴.۸ درصد) و سوءاستفاده از حساب‌های کاربری معتبر (۳۴.۵ درصد) است. پس از نفوذ نیز مهاجمان معمولاً با ایجاد حساب‌های جدید، تغییر دسترسی کاربران و شناسایی سرویس‌های شبکه، حضور خود را در زیرساخت سازمان تثبیت می‌کنند.

سرور مانیتورینگ؛ دروازه ورود مهاجمان

در دومین پرونده، سازمانی هدف باج‌افزار Black Nivas قرار گرفت. مهاجمان پس از ورود به شبکه با استفاده از اطلاعات کاربری سرقت‌شده، یک سرور PRTG را شناسایی کردند؛ سامانه‌ای که برای پایش زیرساخت شبکه استفاده می‌شود.

از آنجا که این سرور به بخش بزرگی از زیرساخت سازمان دسترسی داشت، مهاجمان توانستند از آن به‌عنوان سکوی حمله استفاده کنند، سرورهای VMware ESXi را شناسایی و تمامی ماشین‌های مجازی سازمان را رمزگذاری کنند.

به گفته کسپرسکی، دو اشتباه اصلی زمینه‌ساز این حمله بود؛ نخست، اعطای سطح دسترسی بیش از حد به سرور مانیتورینگ و دوم، به خطر افتادن یکی از حساب‌های کاربری سازمان.

یک وصله امنیتی نصب‌نشده، نابودی کامل اطلاعات را رقم زد

 سومین سناریو به حمله‌ای مربوط می‌شود که در آن مهاجمان به‌جای باج‌افزار، از یک Wiper برای نابودی دائمی اطلاعات استفاده کردند.

مهاجمان با سوءاستفاده از آسیب‌پذیری شناخته‌شده SAP NetWeaver که وصله امنیتی آن سال‌ها قبل منتشر شده بود، وارد شبکه شدند و با نصب یک Web Shell روی سرورهای مرزی، دسترسی اولیه را به دست آوردند.

سپس با اجرای حمله Password Spraying حساب‌های دارای دسترسی بالا را تصاحب کرده و از طریق Active Directory و Group Policy بدافزار را در کل شبکه منتشر کردند.

این بدافزار فایل‌های کوچک را با الگوریتم RSA رمزگذاری می‌کرد، برای فایل‌های متوسط از ترکیب RSA و AES استفاده می‌کرد و فایل‌های بزرگ را به پنج مگابایت کاهش داده و باقی داده‌ها را به صفر تبدیل می‌کرد؛ روشی که بازیابی اطلاعات را عملاً غیرممکن می‌ساخت.

به گفته کنستانتین ساپرونوف، مدیر تیم واکنش اضطراری جهانی کسپرسکی، در سال ۲۰۲۶ بیشترین حملات علیه نرم‌افزارهای Microsoft Exchange، SharePoint و Active Directory انجام شده است؛ محصولاتی که وصله‌های امنیتی آن‌ها مدت‌ها پیش منتشر شده، اما بسیاری از سازمان‌ها همچنان در نصب به‌موقع آن‌ها تعلل می‌کنند.

راهکارهای پیشنهادی کسپرسکی

کسپرسکی تأکید می‌کند هیچ‌یک از این حملات به فناوری‌های پیچیده یا روش‌های ناشناخته متکی نبوده‌اند و مهاجمان تنها از ضعف‌های رایج امنیتی بهره برده‌اند.

این شرکت برای کاهش ریسک حملات مشابه، استفاده از سامانه‌های پایش ۲۴ ساعته، خدمات تشخیص و پاسخ مدیریت‌شده (MDR)، واکنش سریع به رخدادهای امنیتی، اسکن مستمر آسیب‌پذیری‌ها، اولویت‌بندی نصب وصله‌های امنیتی و ممیزی منظم سطح دسترسی کاربران و سامانه‌ها را توصیه می‌کند.

به باور کارشناسان کسپرسکی، آگاهی از تاکتیک‌ها و ابزارهای مورد استفاده مهاجمان و اصلاح پیکربندی‌های امنیتی پیش از وقوع حادثه، همچنان یکی از مؤثرترین راهکارها برای افزایش تاب‌آوری سایبری سازمان‌ها به شمار می‌رود.