روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)؛ اواخر جولای 2020، سایت‌های خبرگزاری‌ فناوری پر شد از خبرهایی در مورد شرکت Garmin. بسیاری از سرویس‌های Garmin از جمله همگام‌سازی دستگاه با کلود و ابزارهای مخصوص خلبانان غیرفعال شد. نبودِ اطلاعات دقیق در مورد این ماجرا باعث شد تا هر کسی برای خود نظریه‌های دیوانه‌کننده‌ای بدهد. اما ما تصمیم گرفتیم به جای اینکه ندانسته شرایط را ارزیابی کنیم، منتظر باشیم ببینیم چه زمان اطلاعات موثقی در این باره به دستمان خواهد رسید. Garmin طی بیانیه‌ای رسمی تأیید کرد که تحت حمله‌ای سایبری قرار گرفته است؛ حمله‌ای که سرویس‌های آنلاین این شرکت را را مختل و برخی سیستم‌های داخلی‌اش را نیز رمزگذاری نموده. اطلاعاتی که تاکنون در دسترس قرار گرفته است نشان می‌دهد مهاجمین برای اجرای این حمله از باج‌افزار WastedLocker استفاده کرده‌اند. متخصصین ما تحلیل فنی مفصلی روی این بدافزار انجام دادند که در ادامه قصد داریم یافته‌های این تحلیل را در اختیارتان قرار دهیم. پس ما با همراه بمانید.

باج‌افزار WastedLocker

WastedLocker نمونه‌ایست از باج‌افزار هدف‌دار: بدافزاری که مشخصاً برای حمله به شرکتی خاص طراحی می‌شود. پیام باج، قربانی را به اسم خطاب کرده بود و تمامی فایل‌های رمزگذاری‌شده افزونه‌ی garminwasted. گرفته بودند. نقشه‌ی کریپتوگرافیک مجرمان سایبری نیز به همین نتیجه‌گیری اشاره دارد. فایل‌ها با استفاده از الگوریتم‌های AES و RSA رمزگذاری شده بودند؛ الگوریتم‌هایی که سازندگان باج‌افزار اغلب به طور ترکیبی از آن‌ها استفاده می‌کنند. با این حال، به جای استفاده از یک رمز منحصراً تولیدشده برای هر آلودگی، رمز عمومی RSA مورد استفاده قرار گرفت. به بیانی دیگر، اگر دستکاری این باج‌افزار بر علیه چندین هدف مورد استفاده قرار می‌گرفت، برنامه‌ی رمزگذاری داده هدفی عمومی داشت؛ زیرا باید یک کلید خصوصی هم وجود می‌داشت. افزون بر این، باج‌افزار مذکور ویژگی‌های عجیب زیر را از خود نشان داده است:

• اولویت‌بندی رمزگذاری داده: بدین‌معنا که مجرمان سایبری می‌توانند دایرکتوری خاص فایل‌ها را برای رمزگذاری در اول کار، مشخص کنند. این کار در صورتی که مکانیزم‌های امنیتی، رمزگذاری داده را پیش از تکمیل شدنش متوقف کرده باشند میزان آسیب را به بالاترین حد خود خواهند رساند.
• پشتیبانی از رمزگذاری فایل روی منابع شبکه ریموت.
• بررسی امتیاز و استفاده از سرقت DLL برای افزایش امتیاز.

Garmin در چه وضعی است؟

طبق بیانیه‌ی به‌روز شده‌ی این شرکت، سرویس‌ها دوباره شروع به کار کرده‌اند؛ هرچند همگام‌سازی داده‌ها ممکن است کُند پیش رفته و هنوز به برخی موارد جداگانه محدود شده باشند که خوب قابل درک هم هست:

دستگاه‌هایی که چندین روز نتوانستند با سرویس‌های کلود خود همگام‌سازی شوند اکنون همگی دارند به صورت همزمان به سرورهای شرکت وصل می‌شوند و این افزایش لود را در پی خواهد داشت. Garmin اینطور گزارش داده است که هنوز شواهدی دال بر دسترسی پیدا کردن غیرقانونی شخصی به داده‌های کاربری در طول این رخداد وجود ندارد.

چطور در برابر چنین حملاتی مصون بمانیم؟

حملات هدف‌دار باج‌افزار روی شرکت‌ها آمده‌اند تا بمانند. با این تفاسیر توصیه ما به شما این است که:

• همیشه نرم‌افزارهای خود را به روز نگه دارید خصوصاً سیستم‌عامل را؛ بیشتر تروجان‌ها آسیب‌پذیری‌های شناخته‌شده را اکسپلویت می‌کنند.
• برای ردّ دسترسی عمومی به سیستم‌های شرکت از RDP (یا در صورت لزوم از وی‌پی‌ان) استفاده کنید.
• به کارمندان خود اصول اولیه امنیت سایبری را آموزش دهید. اغلب اوقات، مهندسی اجتماعی روی کارمندان است که به تروجان‌های باج‌افزار اجازه می‌دهد شبکه‌های سازمانی را آلوده کنند.
• از راهکارهای امنیتی جدید و مجهز به فناوری‌های پیشرفته‌ی ضد باج‌افزار استفاده کنید. محصولات ما WastedLocker را شناسایی کرده و جلوی آلودگی را می‌گیرند.

منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.