هشدارهای افتایی
بر اساس تحقیقی که نتایج آن 21 آبان ماه منتشر شد، مهاجمان در جریان حملاتی هدفمند اقدام به آلوده‌سازی سرورهای سازمان‌ها به باج‌افزاری خاص با مشخصه‌ها و ویژگی‌هایی متمایز از سایر باج‌فزارها می‌کنند. به نظر می‌رسد که باج‌افزار مذکور اشتراکاتی با بدافزارهای مورد استفاده توسط برخی از گروه‌های تبهکار سایبری هکری دارد.
به گزارش معاونت بررسی مرکز افتا، به نقل از پایگاه اینترنتی ZDNet، در این تحقیق باج‌افزار جدیدی با عنوان PureLocker مورد بررسی قرار گرفته و دلیل انتخاب این نام برای این باج‌افزار، نوشته شدن آن به زبان برنامه‌نویسی PureBasic است.
توسعه باج‌افزار به زبان PureBasic کاری معمول در میان نویسندگان بدافزار محسوب نمی‌شود؛ بکارگیری این زبان برنامه‌نویسی در نوشتن بدافزار می‌تواند موجب تسهیل عبور کد مخرب از سد آن دسته از محصولات امنیتی شود که شناسایی و کالبدشکافی بدافزارهای مبتنی بر این زبان برنامه‌نویسی در آنها پیش‌بینی و لحاظ نشده است. ضمن اینکه زبان PureBasic از هر سه بستر Windows،Linux  و OS-X پشتیبانی می‌کند. در نتیجه امکان سازگار کردن باج‌افزار برای هر کدام از بسترهای مذکور برای مهاجمان به سادگی فراهم است.
یافته‌های این تحقیق نشان می‌دهند که تمرکز اصلی مهاجمان پشت‌پرده PureLocker بر روی رمزگذاری فایل‌های ذخیره شده بر روی سرورها و اخاذی در ازای بازگرداندن آن‌ها به حالت اولیه است. حملات باج‌افزای بر ضد سرورها معمولاً منجر به درخواست مبالغ هنگفتی در حد صدها دلار می‌شود که در برخی موارد نیز با تهدید از بین بردن داده‌ها در صورت عدم پرداخت باج در موعد مقرر توسط قربانی همراه است.
هدف قرار دادن سرورهایی همچون پایگاه‌های داده به نوعی تسخیر کردن حساس‌ترین و کلیدی‌ترین بخش زیرساخت فناوری اطلاعات سازمان‌هاست.
در حال حاضر آمار مشخصی از تعداد قربانیان PureLocker در اختیار نیست اما پژوهشگران تایید کرده‌اند که کارزار این باج‌افزار در قالب خدمات موسوم به "به‌عنوان سرویس" (as-a-service) در حال فعالیت است. در این نوع خدمات، صاحب باج‌افزار، فایل مخرب را به‌عنوان یک خدمت به متقاضی اجاره می‌دهد. متقاضی که ممکن است در برنامه‌نویسی تخصصی نداشته باشد تنها وظیفه انتشار باج‌افزار را بر عهده دارد. در نهایت بخشی از مبلغ اخاذی شده از قربانی به متقاضی و بخشی دیگر به نویسنده می‌رسد. اما به‌نظر می‌رسد که در PureLocker بجای ارائه آن به همه افراد متقاضی، در قالب یک ابزار سفارشی تنها در اختیار گردانندگان حملات گسترده سایبری که در همان ابتدای کار مبلغ قابل توجهی را پرداخت می‌کنند قرار داده می‌شود. موضوعی که به نحوی بیانگر انحصاری بودن استفاده از آن توسط بازیگرانی محدود است.
بررسی کد منبع Source Code) PureLocker) نکات قابل توجهی را در خصوص این باج‌افزار افشا می‌کند؛ از جمله می‌توان به وجود رشته‌هایی در کد آن اشاره کرد که در درب‌پشتی more_eggs نیز مورد استفاده قرار گرفته است. more_eggs در وب تاریک (Dark Web) توسط کسی که محققان او را یک تأمین‌کننده "کهنه‌کار" سرویس‌های مخرب معرفی کرده‌اند به فروش می‌رسد.
این ابزارها توسط برخی از مخرب‌ترین گروه‌های تبهکار سایبری امروزی همچون Cobalt و FIN6 مورد استفاده قرار گرفته و عملاً باج‌فزار حاوی کدهایی مشترک با کارزارهای اجرا شده توسط این گروه‌هاست. به عبارتی دیگر PureLocker برای تبهکارانی طراحی شده که دقیقاً می‌دانند که چه می خواهند و برای دستیابی به آن به چه نحو باید عمل کنند.
هنوز مشخص نیست که دقیقا PureLocker چطور به سیستم قربانی رخنه می‌کند. اما محققان این تحقیق اشاره کرده‌اند که همانطور که در کارزارهای مبتنی بر more_eggs از ایمیل‌های فیشینگ بهره گرفته می‌شود ممکن است این باج‌افزار نیز از همین طریق و احتمالاً در فرایندی موسوم به دانلود چندمرحله‌ای کد مخرب به اهداف خود راه پیدا کند.
در اطلاعیه باج‌گیری (Ransom Note) باج‌افزار PureLocker از قربانی خواسته می‌شود تا با برقراری ارتباط از طریق ایمیل درج شده در آن در خصوص مبلغ باج با مهاجمان مذاکره کند. همچنین به قربانی هشدار داده می‌شود که در صورتی که ظرف 7 روز برای پرداخت باج اقدام نکند کلیدهای خصوصی مربوطه حذف می‌شود که در صورت واقعی بودن این ادعا به معنای غیرقابل بازگشت شدن فایل‌ها خواهد بود.
به گفته محققان، کارزار PureLocker همچنان فعال بوده و بسیار اهمیت دارد که سازمان‌ها با اتخاذ سیاست‌های امنیتی مناسب خود را در مقابل چنین تهدیداتی ایمن نگاه دارند. ضمن اینکه آموزش کارکنان و آگاهی‌رسانی به آن‌ها در خصوص تهدیدات فیشینگ نیز از اهمیت بسزایی برخوردار است.
نشانه‌های آلودگی (IoC):
هش‌ها:
•    1fd15c358e2df47f5dde9ca2102c30d5e26d202642169d3b2491b89c9acc0788
•    c592c52381d43a6604b3fc657c5dc6bee61aa288bfa37e8fc54140841267338d

منبع:

 
امتیاز دهی
 
 

  • ارسال به دوستان
نام ارسال کننده :  
ایمیل ارسال کننده:
نام دریافت کننده :
ایمیل دریافت کننده :  
موضوع ایمیل :
کد تصویری :
 
 
امتیاز دهی
 
 


آدرس:
تهران، خیابان استاد شهید مطهری، خیابان میرزای شیرازی، کوچه شهدا، پلاک یک، مرکز مدیریت راهبردی افتا


ایمیل:
info@afta.gov.ir

.