شناسایی دو باج‌افزار با هدف اخاذی از کاربران

 
 
با توجه به رشد چشمگیر در حوزه بدافزار در دنیای امروزی، باج‌افزارها نیز رشد قابل توجهی داشتند که RXX و Random Ransome دو نمونه از این باج‌افزارها هستند که با رمزگذاری داده‌ها، از کاربران درخواست وجه می‌کنند.
 
 حملات باج‌افزاری (ransomware) این روزها رایج شده است و هیچ شرکتی نیز از این حملات مصون نیست. باج‌افزار نرم‌افزاری مخرب است که سیستم قربانیان را برای اخاذی پول از آن‌ها قفل‌گذاری می‌کند. این حملات پرونده‌های شما را رمزگذاری می‌کند و داده‌های گران‌بهای شمارا برای اخذ باج، نگه می‌دارند. این کار با وسوسه کردن کاربران در دانلود یک پیوست یا باز کردن یک لینک انجام می‌شود. با دانلود پیوست، بدافزار را در دستگاه خود نصب می‌کنید.
 
زمانی که سیستم شما مورد حمله قرار می‌گیرد، می‌تواند یک وضعیت چالشی و خطرناک برای شما ایجاد کند. باج‌افزار با وارد شدن به سیستم شما، می‌تواند اطلاعات شمارا قفل کند. بنابراین، مهم است که همه‌چیز را درباره حذف باج‌افزار و محافظت از باج‌افزار و نحوه متوقف کردن آن بدانید.
 
در چندین سال اخیر که شیوع بدافزارها در دنیای دیجیتال رشد زیادی داشته، باج‌افزارها نیز رشد زیادی داشته‌اند و روزانه انواع مختلفی از آن ایجاد می‌شود و انتشار می‌یابد. یکی از این باج‌افزارها که در گزارش مرکز ماهر (مدیریت امداد و هماهنگی رخدادهای رایانه‌ای) به آن اشاره شده، RXX از خانواده Crysis است که با رمزگذاری داده‌ها به‌منظور دریافت وجه برای ارائه ابزار رمزگشایی عمل می‌کند.
 
این باج‌افزار با توجه به یافته‌ها و بررسی‌های محققین حوزه بدافزار اوایل مارس سال ۲۰۱۷ میلادی ایجاد شده، ولی اولین مشاهدات آن در سال ۲۰۲۰ است. این باج‌افزار در طی فرآیند رمزگذاری، کلیه فایل‌ها را براساس این الگو تغییر نام می‌دهد: نام اصلی فایل، شناسه منحصر به فرد، آدرس ایمیل مجرمان سایبری و .rxx در انتهای هر فایل. همچنین براساس آخرین اطلاعات موجود، این باج‌افزار نیز همانند باج‌افزارهای دیگر از طریق پیوست‌های ایمیل آلوده (ماکرو)، وب‌سایت‌های تورنت، تبلیغات مخرب انتشار ‌می‌یابد.
 
مهاجمان به‌صورت مستقیم مبلغ باج را تعیین نکرده‌اند و کاربران قربانی شده باید با استفاده از آدرس‌های ایمیلی که در فایل راهنما نمایش داده می‌شود با مهاجمان ارتباط برقرار کنند تا مقدار و نحوه پرداخت باج مشخص شود. آدرس‌های ایمیل به‌صورت [email protected] و [email protected] است. چنانچه مهاجمان در طول ۱۰ ساعت پاسخی از سمت کاربر دریافت نکنند دراین صورت کاربران برای برقراری ارتباط با مهاجمان باید از طریق ایمیل دوم اقدام کنند.
 
یکی دیگر از این باج‌افزارها Random Ransome است که برای اولین بار توسط S!Ri در ابتدای آوریل سال ۲۰۲۰ میلادی گزارش شده اما در بررسی‌هایی که روی فایل باج‌افزار صورت گرفته، زمان کامپایل آن تغییر یافته و به تاریخ ۲۰۹۸ تنظیم شده است. این باج‌افزار با افزدون پسوند .Random به انتهای هرفایل آنها را رمزگذاری می‌کند. به محض اتمام فرآیند رمزگذاری، RANDOM یک فایل متنی ویژه را در هر پوشه‌ای که حاوی داده‌های رمزگذاری باشد قرار می‌دهد و تنها راه بازیابی اطلاعات رمزگذاری‌شده استفاده از یک کلید رمزگشایی منحصربه‌فرد است و برگرداندن فایلها بدون کلید موجود غیرممکن است.
 
نحوه انتظار این باج‌افزار نیز احتمال داده می‌شود از طریق پیوست‌های ایمیل آلوده (ماکرو)، وب‌سایت‌های تورنت، تبلیغات مخرب باشد. قربانیان می‌توانند با بازی کردن یک بازی که با کلیک روی دکمه GAME PLAY راه‌اندازی شوند، رمزگشایی فایل‌ها را انجام دهند. قربانیان باید در ظرف مدت یک ساعت ۵۰ امتیاز کسب کنند، پس از آن توسعه‌دهندگان Ransom Random یک کلید رمزگشایی را فعال می‌کنند.
 
مرکز ماهر برای پیشگیری از آلودگی به باج‌افزارها، به نکاتی اشاره کرده است ازجمله گرفتن فایل پشتیبان به‌صورت دوره‌ای از فایل‌های سیستم و ذخیره آن در محل دیگر، استفاده از آنتی‌ویروس قوی و به‌روزرسانی مداوم آن، خودداری از بازکردن و اجرای فایل‌های مشکوک و ناشناس، خودداری از بازکردن ایمیل‌های مشکوک و ناشناس، اطمینان از سالم بودن دستگاه‌های جانبی مانند فلش، استفاده از رمزعبور قوی روی درایوهای سیستم، استفاده از سیستم‌عامل جدید و به‌روزرسانی شده، به‌روزرسانی مداوم سیستم عامل و پیکربندی مناسب پروتکل‌های مورد استفاده در شبکه متناسب با محیط کار.
 

باج افزار جدید به جان رایانه‌های مک افتاد

 
 
 
کارشناسان امنیتی از عرضه باج افزار تازه ای به نام تیف کوئیت خبر داده‌اند که فقط رایانه‌های مک را برای باج گرفتن از مالکان آنها مورد حمله قرار می‌دهد.
 
به نقل از اسلش گیر، در حالی که تا چند سال قبل رایانه‌های مجهز به سیستم عامل ویندوز هدف اصلی حملات هکری و باج افزاری بودند، چند سالی است وضعیت تغییر کرده و رایانه‌های دارای سیستم عامل‌های مک و لینوکس نیز به طور جدی مورد توجه هکرها قرار گرفته‌اند.
 
باج افزار ThiefQuest که قبلاً به EvilQuest مشهور بود، توان تخریبی بالایی دارد و در صورت نفوذ به رایانه‌های مک و قفل کردن فایل‌ها، هیچ راهی برای پاکسازی آن و دسترسی مجدد به فایل‌های مسروقه و از دسترس خارج شده وجود ندارد.
 
این بدافزار که ترکیبی از قابلیت‌های جاسوس افزارها و باج افزارها را در خود دارد، در زمان نفوذ به رایانه‌های مک به گونه‌ای رفتار می‌کند که انگار در حال انجام فرایندی طبیعی در ارتباط با برنامه‌ها و سیستم عامل‌های گوگل یا اپل است. اما بعد از نصب رایانه را به طور کامل قفل می‌کند و تا به حال هیچ روشی برای رمزگشایی از فایل‌های قفل شده بدین شیوه شناسایی نشده است.
 
در حال حاضر موارد محدودی از آلودگی با این باج افزار شناسایی شده و محققان امنیتی می‌گویند کاربران در صورت نصب وصله های به روزرسان مک از گزند آن در امان خواهند ماند.

هکرها در کمین حمله به شبکه‌های آسیب پذیر با باج افزارها هستند

محققان امنیتی به منظور جمع آوری اطلاعات در مورد حملات چند مرحله ای با باج افزارها، یک سیستم اطلاعاتی کاذب ایجاد کرده و متوجه شدند هکرها آن را در مدت زمان کوتاه شناسایی کرده و به آن حمله می‌کنند.
 
محققان امنیتی پس از سرعت عمل هکرها در شناسایی آسیب پذیری‌ها در زیرساخت‌های حیاتی، از هدف قرار گرفتن سیستم‌های کنترل صنعتی (ICS) توسط باج افزارهای مختلف هشدار دادند.
 
شرکت امنیتی «Cybereason» به منظور به دام انداختن هکرها، یک سیستم اطلاعاتی با داده‌های کاذب موسوم به هانی پات (Honeypot) ایجاد کرده و آن را به گونه‌ای طراحی کردند که شبیه یک شرکت برق واقعی فعال در اروپا و آمریکای شمالی به نظر رسیده تا هکرها برای حمله کردن به آن تشویق شوند.
 
محققان زیرساخت‌های این شبکه را با آسیب پذیری‌های امنیتی رایج در زیرساخت‌های حیاتی، از جمله پورت‌های دسترسی از راه دور به دسکتاپ، پسوردهای ضعیف و مشکلات امنیتی در زیرشبکه ها ایجاد کردند.
 
این هانی پات اوایل سال جاری میلادی در اینترنت در دسترس قرار گرفت و تنها سه روز طول کشید تا هکرها آن را شناسایی و برای حمله به آن نقشه بکشند. آن‌ها با استفاده از باج افزار به بخش‌هایی از شبکه نفوذ کرده و نام کاربری و کلمه عبور تعدادی از اکانت‌ها را سرقت کردند.
 
هکرها با سوءاستفاده از ابزارهای کنترل از راه دور دسکتاپ به شبکه دسترسی پیدا کرده و پس از هک کردن پسورد ادمین، دسترسی سیستم را از راه دور به دست گرفتند. آن‌ها سپس یک درب پشتی در سرور آلوده ایجاد کرده و با استفاده از ابزارهای پاورشل مثل Mimikatz، نام‌های کاربری و کلمات عبور را سرقت کردند تا توانایی دسترسی بیشتر به شبکه و آلوده کردن سیستم‌های بیشتر را پیدا کنند.
 
این حمله نشان می‌دهد هکرها علاوه بر بکارگیری باج افزارها، توانایی سرقت نام‌های کاربری و کلمات عبور را دارند. آن‌ها این کار را به عنوان اهرم اطمینان انجام می‌دهند تا اگر با رقم باج خواهی آن‌ها موافقت نشد، شرکت را با انتشار اطلاعات حساس تهدید کنند.
 
به گفته محققان هکرها پس از پایان مراحل جانبی حمله، باج افزارها را به طور همزمان در تمام سرورهای آلوده رها می‌کنند تا با این کار قدرت حمله را افزایش دهند.
 
حمله هکرها به این هانی پات خسارات جدی در پی نداشت، ولی آزمایش نشان داد شبکه‌هایی که از زیرساخت‌های حیاتی پشتیبانی می‌کنند باید از درجه امنیت بسیار بالایی برخوردار باشند که انتخاب کلمات عبور پیچیده تنها یکی از روش های ارتقا امنیت است.

توصیه‌های مایکروسافت برای مقابله با حملات باج‌افزاری

مایکروسافت هشدار داده که مهاجمان در کارزارهای سایبری در حال آلوده‌سازی مراکز فعال در حوزه سلامت و سرویس‌های حیاتی به باج‌افزارهای از نوع موسوم به Human-operated هستند. در هر یک از مراحل اجرای حملات Human-operated مهاجمان بسته به شرایط و نتایج حاصل شده در مراحل قبلی اقدام به تصمیم‌گیری و طراحی مرحله بعد می‌کنند.
 
به گزارش مرکز افتا، به نقل از پایگاه اینترنتی BleepingComputer، این شرکت اقدام به ارائه توصیه‌هایی در خصوص محافظت از سیستم‌های قابل دسترس بر روی اینترنت در برابر این حملات کرده است.
 
نقطه شروع بسیاری از این حملات، بهره‌جویی (Exploit) از آسیب‌پذیری‌های امنیتی دستگاه‌های قابل دسترس بر روی اینترنت یا اجرای حملات موسوم به سعی‌وخطا (Brute-force) بر ضد سرورهای RDP است تا از این طریق رخنه اولیه به شبکه صورت بگیرد.
 
برای مثال، در جریان حمله به شرکت Travelex مهاجمان پشت‌پرده باج‌افزار Sodinokibi – که با نام REvil نیز شناخته می‌شود – اقدام به بهره‌جویی از دستگاه‌های Pulse VPN کردند. 
 
یا در نمونه‌هایی دیگر می‌توان به بهره‌جویی مهاجمان از آسیب‌پذیری CVE-۲۰۱۹-۱۹۷۸ در Citrix ADC (NetScaler) برای نفوذ به شبکه و انتشار باج‌افزارهایی همچون DoppelPaymer و Ragnarok اشاره کرد.
 
بررسی‌های مایکروسافت نشان می‌دهد که مرحله نهایی توزیع باج‌افزار و رمزگذاری سیستم معمولاً با سرقت اطلاعات با هدف اخاذی بیشتر و استخراج اطلاعات اصالت‌سنجی به‌منظور گسترش آلودگی در سطح شبکه سازمان همراه می‌شود.
 
برای جلوگیری از بروز آن، مایکروسافت به قربانیان بالقوه توصیه می‌کند که گردانندگان پشت‌پرده کارازهای باج‌افزاری را از مورد بهره‌جویی قرار دادن آسیب‌پذیری‌های مورد نظر این تبهکاران عاجز کنند.
 
این شرکت تأکید می‌کند که اعمال اصلاحیه‌های امنیتی بر روی سیستم‌های در معرض اینترنت در مقابله با این حملات حیاتی است.
 
بر اساس داده‌های جمع‌آوری شده توسط Microsoft، مهاجمان در حملات باج‌افزاری اخیر معمولاً از حفره‌های امنیتی زیر سوءاستفاده می‌کنند:
 
♦پودمان‌های Remote Desktop Protocol – به اختصار RDP – یا نقاط پایانی Remote Desktop Protocol فاقد اصالت‌سنجی چندمرحله‌ای (MFA)
 
♦ بسترهایی همچون Windows Server ۲۰۰۳ و Windows Server ۲۰۰۸ که پشتیبانی از آنها پایان یافته و دیگر به‌روزرسانی‌های امنیتی برای آنها عرضه نمی‌شود؛ به‌خصوص اگر از رمزهای عبور ضعیف در آنها استفاده شده باشد.
 
♦ سرورهای تحت وب با پیکربندی نادرست؛ شامل IIS، نرم‌افزارهای پرونده الکترونیک بیمار (EHR)، سرورهای پشتیبان (Backup) و سرورهای مدیریت سیستم‌ها.
 
♦ سیستم‌های Citrix Application Delivery Controller – به اختصار ADC –، آسیب‌پذیر به CVE-۲۰۱۹-۱۹۷۸۱.
 
♦ سیستم‌های Pulse Secure VPN، آسیب‌پذیر به CVE-۲۰۱۹-۱۱۵۱۰.
 
در حالی که Microsoft حملات جدیدی که در جریان اجرای آنها از آسیب‌پذیری‌های CVE-۲۰۱۹-۰۶۰۴ (در Microsoft SharePoint)، CVE-۲۰۲۰-۰۶۸۸ (در Microsoft Exchange) یا CVE-۲۰۲۰-۱۰۱۸۹ (در Zoho ManageEngine) سوءاستفاده شده باشد را مشاهده نکرده اما بر اساس سوابق تاریخی، مورد بهره‌جویی قرار گرفتن آنها توسط مهاجمان در آینده‌ای نزدیک برای راه یافتن به شبکه قربانیان را محتمل می‌داند.
 
همچنین سازمان‌ها می‌بایست نشانه‌های اجرای حملات باج‌افزاری را در بسترهای خود به‌سرعت کشف کنند. از جمله اینکه استفاده از پروسه‌ها/ابزارهای معتبر اما بالقوه مخرب (نظیر PowerShell، Cobalt Strike و ابزارهای مورد استفاده در آزمون‌های نفوذ)، فعالیت‌های مرتبط با سرقت اطلاعات اصالت‌سنجی یا دست‌درازی به لاگ‌های امنیتی را همواره تحت رصد قرار دهند.
 
به‌محض مواجهه با هر یک از این نشانه‌ها، تیم امنیتی سازمان باید انجام اقدامات زیر را برای ارزیابی میزان تأثیر و جلوگیری از گسترش احتمالی تهدید در دستور کار قرار دهد:
 
♦ بررسی نقاط پایانی و اطلاعات اصالت‌سنجی تأثیر پذیرفته.
♦ قرنطینه کردن نقاط پایانی هک/آلوده شده.
♦ توجه ویژه به دستگاه‌ها آلوده به بدافزارهای مرتبط نظیر Emotet و Trickbot که در مواقعی مهاجمان از آنها به‌عنوان ناقل باج‌افزار استفاده می‌کنند.
 
یافتن آسیب‌پذیری‌های در معرض اینترنت که مهاجمان از آنها به‌عنوان درگاهی برای ورود به شبکه استفاده می‌کنند و ترمیم آنها از دیگر اقدمات مهم در دفاع از سازمان در برابر حملات باج‌افزاری است.
 
همچنین Microsoft‌ اعلام کرده گروه‌هایی از مهاجمان با دسترسی یافتن به شبکه‌های هدف برای چندین ماه حضور خود را در آن شبکه‌ها تثبیت کرده بوده و طی دو هفته اول آوریل ۲۰۲۰ اقدام به توزیع ده‌ها باج‌افزار بر روی سیستم‌های متصل به شبکه‌های مذکور کردند.
 
به گفته این شرکت، تا به حال سازمان‌های کمک‌رسان، شرکت‌های معروف به Medical Billing، کارخانجات، شرکت‌های فعال در حوزه حمل‌ونقل، مؤسسات دولتی و تأمین‌کنندگان نرم‌افزارهای آموزشی مورد هدف این حملات قرار گرفته‌اند که نشان می‌دهد که باج‌گیران سایبری ارزشی برای سرویس‌های حیاتی و بحران جهانی قائل نیستند.
 
لازم به ذکر است که سازمان‌های سلامت و درمان و سرویس‌های حیاتی تنها مواردی نیستند که توسط گروه‌های باج‌افزاری هدف قرار می‌گیرند؛ لذا تمامی سازمان‌های دولتی و خصوصی باید با لحاظ کردن اقدامات پیشگیرانه برای مقابله با چنین ریسک‌هایی و انجام واکنش‌های لازم در هر زمانی آماده باشند.
 
همانطور که آمار Microsoft نشان می‌دهد تاریخ اولیه رخنه به شبکه سازمان‌های مورد اخاذی به اوایل سال میلادی جاری باز می‌گردد که در آنها مهاجمان در انتظار فرصت مناسب برای توزیع کدهای مخرب باج‌افزار می‌مانند تا حداکثر منافع مالی را برای آنها داشته باشد.

تکنیک های حمله سایبری که توسط گروه‌های باج افزاری مورد استفاده قرار می‌گیرد
 
مایکروسافت اضافه کرده که بر خلاف آن دسته از حملات باج‌افزاری که از طریق ایمیل منتشر شده و در مدتی کوتاه پس از اجرای فایل مخرب توسط کاربر ناآگاه، دستگاه به باج‌افزار آلوده می‌شود حملات ماه آوریل مشابه با کارازارهای باج‌افزار Doppelpaymer در سال ۲۰۱۹ است که مهاجمان از ماه‌ها قبل از اجرای باج‌افزار به شبکه اهداف خود دسترسی پیدا می‌کردند.
 
آنها در ادامه بی‌سروصدا در بستر مخفی می‌ماندند تا در فرصتی مناسب باج‌افزار را در سطح شبکه توزیع کنند.
در این حملات در حین توزیع باج‌افزار، مهاجمان عمداً حضورشان را بر روی برخی از نقاط پایانی ماندگار می‌کنند تا بتوانند اقدامات مخرب خود را پس از پرداخت باج یا بازسازی سیستم از سربگیرند.
 
گر چه تنها تعداد اندکی از گروه‌های باج‌افزاری به سرقت داده‌ها معروف شده‌اند اما به گفته Microsoft تقریباً در تمامی آنها دیده شده که داده‌ها در جریان حمله، خوانده و حتی استخراج می‌شود؛ حتی در مواردی که مهاجمان فروش اطلاعات سرقت شده را تبلیغ نکرده‌اند.
 
در اوایل مارس نیز مایکروسافت اطلاعاتی در خصوص بردارهای ورود و تکنیک‌های پس از بهره‌جویی در باج‌افزارهای DoppelPaymer، Dharma و Ryuk را به اشتراک گذاشت که بررسی آنها نشان می‌دهد تنظیمات نادرست امنیتی که این مهاجمان از آنها سوءاستفاده می‌کنند بسیار به یکدیگر شباهت دارد.
 
مایکروسافت از اول آوریل به بیمارستان‌ها در خصوص دستگاه‌های VPN و درگاه‌های در معرض اینترنت در شبکه‌های آنها هشدار داده است.
 
باج‌افزارها از جمله مخرب‌ترین تهدیدات سایبری محسوب می‌شوند. بر اساس تحلیل کیف‌های رمزارز و اطلاعیه‌های باج‌گیری، طی سال گذشته، قربانیان بیش از ۱۴۰ میلیون دلار باج را به گردانندگان این بدافزارهای مخرب پرداخت کردند.
 
مشروح توصیه‌های مایکروسافت را می‌توانید در این آدرس بخوانید.

کدهای منبع باج افزار خطرناک برای فروش عرضه شد

کدهای منبع باج افزار خطرناک دارما که برای خرابکاری و قفل کردن فایل های مختلف و سپس باج گیری مورد استفاده قرار می گیرند برای فروش در اینترنت عرضه شده است.
 
 
 
به نقل از زددی نت، کدهای منبع باج افزار مشهور و سودآور دارما برای فروش حداقل در دو مجمع آنلاین هکری روسی در دسترس قرار گرفته اند.
 
بررسی های اف بی آی و موسسه امنیتی آر اس ای نشان می دهد که این کدهای منبع باج افزاری به قیمت 2000 دلار به فروش می رسند. دارما از سوی اف بی آی دومین باج افزار خطرناک سال های اخیر لقب گرفته و بین نوامبر سال 2016 تا نوامبر سال 2019 بیش از 24 میلیون دلار باج گیری با استفاده از آن انجام شده است.
 
فروش کدهای منبع دارما در اینترنت رویداد خطرناکی است که می تواند به افزایش باج گیری و سواستفاده از آن منجر شود. همچنین گروه های هکری می توانند از آن برای قفل کردن اطلاعات حساس و دریافت پول به ازای باز کردن قفل استفاده کنند.
 
باج افزار مذکور اولین بار در تابستان سال 2016 با نام کرای سیس از راه رسید و در آن زمان از آن برای ارسال هرزنامه، طراحی کیت های سواستفاده در وب و حملات مختلف باج افزاری بهره گرفته شد.
 

بازگشت باج‌افزار قدیمی با ترفندی جدید/ لزوم فعالسازی نسخه پشتیبان

 
 
مرکز مدیریت راهبردی افتای ریاست جمهوری از بازگشت نسخه جدید باج افزار «پارادایس» که در سال ۲۰۱۷ فعال بود از طریق ایمیل های جعلی (فیشینگ) خبر داد.
 
 به نقل از مرکز مدیریت راهبردی افتای ریاست جمهوری، نسخه جدید باج‌افزار Paradise که تقریباً از سال ۲۰۱۷ فعال بوده، از طریق ایمیل‌های فیشینگ منتشر می‌شود و به دلیل به‌کارگیری فایلی غیرمتداول به سیستم‌ها و شبکه‌ها رخنه می‌کند و محققان بر این باورند که این بدافزار، در حال هدف قراردادن سازمان ها است.
 
فایلی که باج‌افزار Paradise منتشر می‌کند در ظاهر بی‌خطر است؛ این تکنیک به کار گرفته شده سبب می شود که بسیاری از محصولات امنیتی روی سیستم های تحت ویندوز، این فایل را حتی به‌عنوان بالقوه مخرب شناسایی نمی‌کنند.
 
پیوست ایمیل‌های فیشینگ ارسالی در کارزار جدید، فایلی با پسوند IQY است. فایل‌های Internet Query با پسوند IQY حاوی متنی ساده و در ظاهر فاقد هرگونه عملکرد مخرب هستند. نقش این فایل در کارزار جدید Paradise دریافت فایل مخرب مورد نظر مهاجمان است.
 
آنچه که این کارزارهای هرزنامه‌ای را بسیار خطرناک می‌کند، عدم بررسی فایل‌های IQY توسط بسیاری از محصولات امنیتی و سازوکارهای بررسی خودکار است.
 
در این باره پایگاه اینترنتی ZDNet نوشت: محققان Lastline که این کارزار را شناسایی کرده‌اند می‌گویند مهاجمان Paradise در حال هدف قرار دادن سازمان‌ها هستند. گردانندگان باج‌افزار همچنان در حال هدف قرار دادن سازمان‌ها در سرتاسر جهان و موفقیت در اخاذی صدها هزار دلار با ارز رمزهایی همچون بیت‌کوین هستند.
 
در این ایمیل‌های فیشینگ با ظاهری تجاری تلاش شده تا کاربر متقاعد به باز کردن فایل IQY پیوست شود. در صورتی که کاربر ناآگاه اقدام به اجرای پیوست کند، فایل IQY به سرور فرماندهی (C۲) متصل شده و در ادامه با اجرای یک فرمان مبتنی بر PowerShell منجر به نصب باج‌افزار روی سیستم می‌شود.
 
به‌محض رمزگذاری شدن فایل‌ها، با نمایش یک اطلاعیه باج‌گیری (Ransom Note ) از کاربر خواسته می‌شود تا در ازای آنچه که این مهاجمان بازگرداندن دسترسی‌ها به حالت اولیه می‌خوانند، مبلغ اخاذی شده را از طریق ارز رمز (Cryptocurrecny ) پرداخت کند.
 
نویسندگان بدافزار معمولاً در مراحلی از توسعه بدافزار، آن را توزیع می‌کنند تا نحوه شناسایی آنها توسط محصولات و راهکارهای امنیتی را ارزیابی کنند.
 
محققان، پیش‌تر موفق به ساخت ابزاری شده بودند که قربانیان Paradise را قادر به رمزگشایی رایگان فایل‌های رمز شده توسط این باج‌افزار می‌کرد. اجرای این کارزار جدید از عقب ننشستن مهاجمان Paradise حکایت دارد.
 
کارشناسان معاونت بررسی مرکز افتا می‌گویند: یکی از اصلی‌ترین راهکارها در برابر این تبهکاران سایبری، تهیه مستمر نسخه پشتیبان از سیستم‌ها است تا در صورت بروز آلودگی به باج‌افزار، امکان باز گرداندن فایل‌ها به حالت اولیه فراهم باشد.
 
همچنین برای جلوگیری از مورد بهره‌جویی قرار گرفتن آسیب‌پذیری‌های موجود در سیستم‌های عامل و نرم‌افزارهای مورد استفاده، کاربران باید از نصب مستمر اصلاحیه‌های امنیتی روی دستگاه‌ها اطمینان حاصل کنند تا از گزند این بدافزارهای مخرب در امان بمانند.

حمله باج افزاری به شبکه گاز طبیعی آمریکا

 
 
یک حمله باج افزاری به شبکه گاز طبیعی آمریکا و تأسیسات فشرده‌سازی گاز در این کشور منجر به توقف فعالیت بخش‌هایی از این شبکه شده است.
 
 به نقل از بانکینگ سکیوریتی، آژانس امنیت زیرساخت‌ها و امنیت سایبری آمریکا اعلام کرده که مهاجمان به شبکه گاز طبیعی آمریکا از روش فریبنده فیشینگ برای فریب برخی کارکنان این شبکه، سرقت اطلاعات از ایمیل‌های آنها و در نهایت دسترسی به زیرساخت‌های آی تی تأسیسات فشرده سازی گاز و مختل کردن عملیات آن بهره گرفته‌اند.
 
آمریکا اعلام نکرده این حمله به کدام تأسیسات رخ داده و مهاجمان چه بخش‌هایی از آن را هدف گرفته‌اند. باج افزار مورد استفاده ظاهراً توانسته به بخشی از داده‌های رمزگذاری شده رد و بدل شده نیز دسترسی یابد. این داده‌ها برای کنترل و برقراری ارتباطات مورد استفاده بوده‌اند.
 
سیستم‌های مورد حمله در حال حاضر به حالت عادی بازگشته‌اند. این اولین بار نیست که زیرساخت‌های شبکه‌های حیاتی انتقال نیرو و انرژی در آمریکا مورد حمله قرار می‌گیرند و پیش از این حملاتی به تجهیزات آی تی سدها و حتی شبکه‌های انتقال برق انجام شده بود.

باج افزاری که آنتی ویروس را از کار می‌اندازد

اغلب وقتی یک نرم‌افزار آنتی ویروس روی سیستم خود داریم، خیال‌مان از بابت بدافزارها راحت است؛ اما یک تحقیق جدید نشان می‌دهد که آنقدرها هم نباید مطمئن باشیم.
 
 
 
 گزارشی که شرکت امنیتی سوفوس منتشر کرده، حاکی از انتشار نوعی باج افزار جدید است که با حمله به درایورهای گیگابایت، سیستم‌های ویندورزی را هدف قرار می‌دهد. این باج افزار، یک درایور دوم گیگابایت روی سیستم نصب می‌کند که باعث از کار افتادن نرم‌افزارهای آنتی‌ویروس می‌شود.
 
این باج افزار از یک آسیب‌پذیری امنیتی استفاده می‌کند که در سال 2018 در درایورهای گیگابایت پیدا شد. گیگابایت وجود این باگ را تایید کرده است.
 
این نقص نرم‌افزاری به خرابکاران و هکرها اجازه می‌دهد که به دستگاه دسترسی بیابند و بدافزار خود را پیاده کنند که در صورت موفقیت، این بدافزار هر آنتی ویروس یا نرم‌افزارهای امنیتی معمول را روی پی‌سی از کار می‌اندازد.
 
 
سوفوس اعلام کرده که این درایور دوم، پردازش‌ها و فایل‌های هر نرم‌افزار امنیتی را بلاک می‌کند و با دور زدن نرم‌افزارهای امنیتی، امکان حمله باج افزار به کامپیوتر کاربران را فراهم می‌کند.
سوفوس بیان داشته که این بدافزار با استفاده از درایور یک شرکت ثالث مورت تایید مایکروسافت، اقدام به تغییر فایل کرنل برای بارگذاری درایور حاوی بدافزار خود می‌کند و اپلیکیشن امن را از روی کرنل حذف می‌کند.
 
این باج افزار به نام رابین هود (RobbinHood) شناخته می‌شود. گزارش سوفوس نشان می‌دهد که قربانیان این باج‌افزار باید برای باز شدن قفل فایل‌های‌شان مبلغی بپردازند و اگر از پرداخت خودداری کنند، مبلغ باج روزانه 10 هزار دلار بالا می‌رود.
 
فایل اجرایی gigabyte gdrv.sys که این بدافزار استفاده می‌کند، Steel.exe است که فایلی با نام ROBNR.EXE را در پوشه موقت (temporary) ویندوز ایجاد می‌کند. این فایل نیز به نوبه خود دو درایور جداگانه را روی سیستم قرار می‌دهد که یکی از آنها درایور گیگابایت (دارای آسیب پذیری) و دیگری، نرم‌افزاری برای غیرفعال کردن آنتی ویروس است.
 
وقتی سیستم تحت حمله قرار بگیرد، سیستم تایید درایور ویندوز از کار می‌افتد تا اجازه اجرای درایور حاوی بدافزار داده شود.
 
جالب اینکه سوفوس معتقد است که راهی برای کمک به کاربران و جلوگیری از این حمله وجود ندارد و کاربران باید همچنان از نرم‌افزارهای امنیتی خود برای جلوگیری از حملات استفاده کنند.

ادعای موسسه صهیونیستی در مورد تولید باج افزار جدید توسط ایران

یک موسسه صهیونیستی امنیت سایبری مدعی شد که یک باج افزار جدید توسط ایران تولید شده که توانایی قفل کردن و یا حتی پاک کردن سیستم های کنترل صنعتی را داراست.
 
 
 
به نقل از بلومبرگ، یک موسسه صهیونیستی امنیت سایبری مدعی شد که یک باج افزار جدید توسط ایران تولید شده که توانایی قفل کردن و یا حتی پاک کردن سیستم های کنترل صنعتی را داراست.
 
موسسه اوتوریو مستقر در تل آوریل که در زمینه سیستم های کنترل صنعتی (آی سی اس) تخصص دارد ادعا کرد، باج افزار موسوم به «اسنیک» مانند سایر باج افزارهای مشابه برنامه ها و اسناد موجود در رایانه های آلوده شده را کدگذاری می کند. این باج افزار همچنین تمام فایل های سیستم های آلوده را پاک می کند و از بازیابی فایل های کدگذاری شده توسط قربانیان جلوگیری می کند.
 
اوتوریو در بیانیه ای اعلام کرد: «پاک کردن یا قفل کردن سیستم های کنترل هدف حمله این باج افزار مانع از دسترسی به تیم های تولید به فرآیندهای حیاتی مرتبط با تولید از جمله آنالیز، پیکربندی و کنترل می شود.... این به معنای بستن چشمان یک راننده و سپس خارج کردن فرمان از دست راننده است.»
 
نماینده شرکت جنرال الکتریک هم در این باره گفت: «ما از گزارش ها در مورد یک خانواده از باج افزارها که سیستم های کنترل صنعتی را هدف قرار می دهد آگاهی داریم. بر اساس اطلاعات ما این باج افزار به صورت ویژه محصولات آی سی اس شرکت جنرال الکتریک را هدف قرار می دهد و یک نقطه ضعف خاص را در محصولات آی سی اس هدف قرار نمی دهد.»
 
وی افزود، جنرال الکتریک با مشتریان خود همکاری می کند تا در صورت نیاز حمایت های لازم را از آنها به عمل آورد.
 
به گفته موسسه اوتوریو این باج افزار به صورت ویژه برای هدف قراردادن بخش های صنعتی طراحی شده است و احتمالا شرکت بحرین پترولیوم در مقابل این تهدید امنیتی جدید آسیب پذیر است. شرکت بحرین پترولیوم نه تنها از تجهیزات شرکت جنرال الکتریک استفاده می کند، بلکه نام آن در کدهای موجود در این باج افزار مشاهده شده است. در گزارش ادعایی این موسسه امنیتی صهیونیستی آمده است: «یافته ها و ردپاهای موجود در درون این باج افزار و شرایط حول این قضیه موجب می شود که احتمال طراحی این تهدید سایبری از سوی بازیگری غیر از ایران بسیار نامعقول به نظر برسد.»

هشدار درباره شیوع نسخه جدید یک باج‌افزار

نسخه جدیدی از باج‌افزار استاپ (djvu) STOP شناسایی شده که با فایل‌های نصب جعلی برنامه‌ها و اجرای فایل‌های پیوست آلوده پست‌های الکترونیکی منتشر می‌شود و تعداد زیادی از مراکز و کاربران ایرانی به آن آلوده شده‌اند.
 
 باج‌افزار (djvu) STOP فعال‌ترین و شایع‌ترین باج‌افزار سال ۲۰۱۹ شناخته‌شده است. در سال جدید میلادی نیز این باج‌افزار بسیار فعال بوده و افراد زیادی درگیر آن شده‌اند. این باج‌افزار دارای نسخه‌های گوناگونی است و تاکنون بیش از ۲۰۰ نسخه مختلف از آن شناسایی شده است. در نسخه‌های جدید این باج‌افزار، پسوندهای  TOPIو  KODC به انتهای فایل‌های رمزشده افزوده شده و پیغامی مشابه شکل زیر نمایش داده می‌شود.


باج‌افزار یک نوع نرم‌افزار مخرب (بدافزار) است که تمام داده‌ها را روی رایانه یا دستگاه تلفن همراه رمزگذاری کرده و دسترسی مالک آن‌ها را به این داده‌ها مسدود می‌کند. هنگامی‌که این آلودگی اتفاق می‌افتد، قربانی پیامی دریافت می‌کند که در آن دستورالعمل‌های چگونگی پرداخت باج (معمولا در بیت‌کوین‌ها) ارائه شده است. فرآیند اخاذی اغلب شامل محدودیت‌ زمانی برای پرداخت می‌شود. پرداخت جریمه هم باید کلید رمزگشایی را به قربانی بدهد اما هیچ تضمینی وجود ندارد که این اتفاق بیفتد.
 
دو نوع باج‌افزار رایج وجود دارد؛ باج‌افزار رمزگذاری که شامل الگوریتم‌های رمزنگاری پیشرفته است. این برنامه برای مسدود کردن فایل‌های سیستم و تقاضای باج است و برای دسترسی قربانی به آنها، کلیدی وجود دارد که می‌تواند محتوای مسدودشده را رمزگشایی کند. نوع دیگر باج‌افزار مسدودکننده است که قربانی را به‌وسیله سیستم عامل مسدود می‌کند و امکان دسترسی به دسک‌تاپ و هر برنامه یا فایلی را غیرممکن می‌سازد. پرونده‌ها در این مورد رمزگذاری نمی‌شوند، اما مهاجمان باز هم برای کامپیوتر آلوده باج‌گیری می‌کنند.
 
باج‌افزار دارای برخی ویژگی‌های کلیدی است که آن را از  دیگر نرم‌افزارهای مخرب مجزا می‌کند؛ از ویژگی‌های آن رمزگذاری غیرقابل شکست است. بدان معنی که شما نمی‌توانید فایل‌ها را خودتان رمزگشایی کنید. باج‌افزار می‌تواند انواع فایل‌ها، از اسناد تا تصاویر، فایل‌های صوتی و سایر مواردی که ممکن است روی رایانه باشد، رمزگذاری کند. همچنین باج‌افزار می‌تواند نام فایل‌ها را رمزگذاری کند، بنابراین نمی‌توان فهمید کدام اطلاعات تحت تاثیر قرار گرفته‌اند. این یکی از ترفندهای مهندسی اجتماعی است که برای جلب توجه و قربانی کردن قربانیان برای پرداخت باج استفاده می‌شود.
 
مرکز ماهر (مدیریت امداد و هماهنگی رخدادهای رایانه‌ای) اعلام کرده در روزهای اخیر تعداد زیادی از مراکز و کاربران ایرانی به باج‌افزار (djvu) STOP آلوده شده‌اند. عمدتاً این باج‌افزار از طریق  اجرای برنامه‌های کرک‌شده، keygenها، activatorها، فایل‌های نصب جعلی برنامه‌ها و اجرای فایل‌های پیوست آلوده پست‌های الکترونیکی منتشر می‌شود. بنابراین توصیه می‌شود کاربران حتماً از منابع مطمئن اقدام‌به تهیه برنامه‌های مورد نیاز خود کرده و از سایت‌های غیرمطمئن برای دانلود برنامه‌ها استفاده نکنند.
 
درصورتی‌که سیستم آلوده‌شده توسط این باج‌افزار به اینترنت دسترسی نداشته باشد، احتمال بازیابی اطلاعات بیشتر است. برخی از نسخه‌های این باج‌افزار با داشتن دسترسی به اینترنت با دامنه ring۲.ug برای مبادله کلید رمزنگاری ارتباط خواهد داشت. بنابراین به‌منظور کاهش هر چه بیشتر خسارات ناشی از این گونه باج‌افزار بهتر است هرچه سریع‌تر ارتباط با این دامنه مسدود شود.