روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)؛ طبق یافتههای متخصصین ما، مجرمان سایبری فعالانه تمرکز خود را روی بلوک پیام سرور[1] (SMB) گذاشتهاند و این بار تمام توجه خود را معطوف حسابداران کردهاند. انتخابشان هم کاملاً منطقی است- آنها به دنبال دسترسی مستقیم به امور مالیاند. مصداقش هم افزایش تروجانهای بانکی و مالی است: خصوصاً تروجانهای Buhtrap و RTM. آنها کارکرد و روشهای متفاوتی برای پخش و توزیع دارند؛ اما هدف همهشان یکی است- سرقت پول از حساب سازمانها.
هر دو خطرها مشخصاً با شرکتهایی که در حوزهی آیتی، خدمات قانونی و تولیدات در مقیاس کوچک فعالیت میکنند مربوط میشوند. شاید دلیلش هم این باشد که در مقایسه با شرکتهایی که در بخش مالی فعالیت دارند بودجهی امنیتی کمتری به این نوع شرکتها اختصاص داده میشود.
RTM
معمولاً RTM قربانیان را با استفاده از میل فیشینگ مبتلا میکند. نامهها خود را شبیه مکاتبات تجاری سازمانی میکنند (شامل عباراتی همچون "درخواست بازگشت"، "کپیهای پرداختی"). کلیک روی لینک یا باز کردن پیوست به ابتلای آنی منجر خواهد شد و اجازه میدهد تا اپراتورها به سیستم آلوده دسترسی کامل داشته باشند. در سال 2017، سیستمهای ما 2376 کاربر قربانی را تحت حملهی RTM ثبت کرد. در سال 2018، شاهد 130 هزار تارگت بودیم. و با گذشت کمتر از دو ماه از سال 2019 تا کنون بیش از 30 هزار کاربر دیدهایم که با این تروجان مواجه شدهاند. اگر این روند ادامه پیدا کند، سال 2019 رکورد سال قبلش را میزند. در حال حاضر، میتوانیم RTM را یکی از فعالترین تروجانهای مالی معرفی کنیم.
اکثریت تارگتهای RTM در روسیه اعمال میشوند. با این حال، متخصصین ما احتمال میدهند تارگتها از روسیه فراتر رفته و نهایتاً کاربران سایر کشورها را نیز به دام اندازد.
Buhtrap
اولین مواجه با Buhtrap به سال 2014 برمیگردد. در آن زمان، Buhtrap نام گروه جرایم مجازی بود که پول از سازمانهای مالی روسیه میدزدید- با هر بار حمله دستکم 150 هزار دلار. بعد از اینکه کدهای منبع ابزارشان در سال 2015 علنی شد، دیگر نام Buhtrap برای این تروجان مالی به کار رفت.
Buhtrap اوایل سال 2017 در کمپین TwoBee دوباره روی کار آمد؛ جایی که نقش اصلیاش تحویل بدافزار بود. در ماه مارس همان سال، بین خروجیهای خبریِ بزرگ نشت پیدا کرد. در حقیقت عاملین پسِ این ماجرا روی صفحات اصلی این خروجیها اسکریپتهای آلوده و مخرب میگذاشتند. این اسکریپتها در مرورگرهای فرد بازدیدکننده (در Internet Explorer) اکسپلویتی تعبیه کرده بودند.
چند ماه بعد (جولای) مجرمین سایبری مخاطبین خود را محدود کردند و به طور خاص توجه و تمرکز خود را روی گروه کابران خاص گذاشتند: حسابدارانی که در شرکتهای کوچک و متوسط کار میکنند. به همین دلیل، وبسایتهایی ساختند که اطلاعاتشان تنها مخصوص حسابداران بود.
از این رو صحبت این بدافزار را پیش کشیدیم که اواخر سال 2018 دوباره فعالیت خود را شروع کرد و تا به امروز دارد به فعالیت خود ادامه میدهد. به طور کلی، سیستمهای محافظتی ما بیش از 5000 تلاش برای حملهی Buhtrap را متوقف کرده که 250 تلاشش از اوایل سال 2019 شروع شده است.
درست مانند بار آخر، Buhtrap از طریق اکسپلویت جاگذاریشده در خروجیهای خبری توزیع میشود. طبق معمول، کاربران Internet Explorer بیش از بقیه تحت خطرند. این مرورگر در واقع از پروتکل رمزنگاریشدهای برای دانلود بدافزار از سایتها آلوده استفاده میکند و این تحلیل را پیچیده میکند. همچنین به بدافزار اجازه میدهد تا برخی راهحلهای امنیتی نتوانند متوجه آن شوند. و بله.... هنوز هم از آسیبپذیریای استفاده میکند که به سال 2018 برمیگردد.
در نتیجهی این آلودگی، هر دو تروجان و بدافزار Buhtrap و RTM دسترسی کامل به ایستگاههای کاریِ دستکاریشده میدهند. این به مجرمان سایبری اجازه میدهد تا فایلهایی که بین سیستمهای بانکی و حسابداری تبادل میشوند تغییر دهند. این فایلها نامهای پیشفرض دارند و از هیچ اقدامات پیشگیرانهای برخوردار نیستند؛ بنابراین مهاجمین میتوانند هر زمان که بخواهند همه را تغییر دهند. برآورد آسیبها و خسارات بسیار چالشبرانگیز است اما آنطور که دستمان آمده است، مجرمین تراکنشهایی را که هر یک از داراییهایش از 15 هزار دلار تجاوز نمیکند خالی میکنند.
چه کاری میتوان کرد؟
برای محافظت از شرکتتان در مقابل چنین تهدیدهایی، توصیه میکنیم توجه ویژهای به محافظت کامپیوترهای خود داشته باشید- سیستمهای حسابداران و مدیران مالی (آنهایی که با سیستمهای مالی سر و کار داشته و بدانها دسترسی دارند). البته، همهی دستگاهها نیاز به مراقبت و محافظت دارند. در ادامه با چند راهحل کاربردی همراهمان باشید:
- پچها و آپدیتهای امنیتی را برای همهی نرمافزارهای خود (حتیالامکان) نصب کنید.
- تا جایی که امکان دارد روی کامپیوتر حسابداران از خدمات ریموتِ مدیریتی استفاده نکنید.
- از نصب برنامههای غیرمجاز پرهیز کنید.
- آگاهی امنیتی عمومی کارمندانی را که در بخش مالی کار میکنند ارتقا دهید؛ همچنین اقدامات ضدفیشینگ را نیز به آنها آموزش دهید.
- راهحلی محافظتی با فناوریهای تحلیل رفتار فعال مانند کسپرسکی سکیوریتی اندپوینت برای سازمان نصب کنید.
[1] Server Message Block
منبع: کسپرسکی آنلاین (ایدکو)
کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز میشناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکي نام دارد.
