روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)؛سال های سال است که باج افزارها در عرصه ی سایبری وارد شده اند و بدون هیچ ملاحظه ای به کاربران و اطلاعات مهم و حیاتی آن ها آسیب می زنند. با گذشت زمان حمله های آن ها گسترده تر و اهداف آن ها از کاربران خانگی به بیمارستان ها، کسب و کارها و سازمان های بزرگ رسیده است. همانطور که قبلا هم به آن اشاره کردیم، فعالیت در زمینه ی کاری هکرها در میان مجرمان شغل پردرآمدی است و از این رو است که هر روز به تعداد آن ها اضافه می شود و آن ها از این راه به پول های هنگفت دست می یابند.
تنها در چند ماه گذشته ما شاهد حملات ترسناک و گسترده ای از باج افزارها واناکرای، پتیا و LeakerLocker بودیم که توانستند در سراسر جهان سر و صدای زیادی را برپا کنند و با متوقف کردن بیمارستان ها و وسایل نقلیه، بانک ها و بسیاری از کسب و کارها دست به حمله بزنند.
قبل از باج افزارهای واناکرای و پتیا، Mamba باج افزاری قدرتمند بود که با عملیات مخرب خود کل دیسک را رمزنگاری می کرد و توانست حمله ی خود هرج و مرجی اساسی در کل جهان برپا کند. اما خبری که ما در این مقاله می خواهیم به آن بپردازیم در مورد بازگشت بدافزارها است. در مورد باج افزارها چیزی به عنوان زمین خوردن وجود ندارد. اگر بخواهیم از دید هکرها نگاه کنیم می بینیم که آن ها یک برنامه ای را نوشته اند و ممکن است به خوبی عمل نکند و موفق نباشد. اما مجرمان از این بابت ناامید نمی شوند، آن ها با ترمیم برنامه و قویتر و به روز کردن آن به میدان می آیند و بدیهی است که موفق تر از قبل خواهند بود.
باج افزارLocky با ظاهری جدید
این باج افزار که در اوایل سال 2016 ظاهر شد، یکی از بیشترین آلودگی ها را در بین باج افزارها داشت که هدف اصلی آن بیشتر سازمان ها و کسب و کارها بود. باج افزار Locky قربانیان را با کلیک کردن بر روی ضمیمه های مخرب فریب می داد و تمام فرمت های کامپیوتر را به فرمت اختصاصی خود تغییر می داد و پس از انجام عملیات رمزنگاری از قربانیان به ازای بازگرداندن فایل های آن ها درخواست باج می کرد.
این باج افزار با استفاده از نسخه های مختلف از طریق Necurs بات نت و Dridex بات نت به شیوع پرداخت.
اما به تازگی محققان امنیتی کمپینی جدید را یافته اند که نوع جدیدی از باج افزار Locky را شیوع و کاربران سراسر جهان را مورد هدف قرار داده است.
یک محقق ارشد امنیتی نوع جدید این باج افزار را در ابتدا با نام Racco42 شناسایی کرد که فایل ها را روی سیستم های آلوده رمزنگاری و پسوند آن ها را به .diablo6 تغییر می دهد. به همین خاطر است که کاربران هنگام باز کردن ضمیمه های ایمیل بایستی احتیاط کنند و موارد امنیتی را رعایت کنند.
همچنین کمپینی از بدافزارها وجود دارد که با استفاده از پاپ آپ های جعلی به کاربران در مورد یک وب فونت از دست رفته هشدار می دهد، این بدافزار کاربران گوگل کروم و فایرفاکس را مورد هدف قرار داده است. این پاپ آپ هاحاوی یک فایل جاوا اسکریپت مخرب است که در ابتدا ابزار مدیریت دسترسی از راه دور یا باج افزار Locky را دانلود می کند.
این آلودگی توسط کمپین Brad Duncan، در مرکز SANS Internet Storm و Palo Alto Networks’ Unit 42 انجام شده بود. او گفت حملات مشابه به سال 2016 بازمی گردد.
در تمام موارد قربانیان به یک صفحه ی کاملا قابل فریب منتقل می شوند که در آن جا یک پاپ آپ جعلی برای آن ها نمایان می شود و در این پاپ آپ پیغامی ظاهر می شود که آن ها نمی توانند صفحه را مشاهده کنند زیرا که مرورگر آن ها فونت "HoeflerText" را ندارد.
خواندن این پیام روی کاربر تاثیر می گذارد و پس از آن به فکر تغییر فونت می افتد. البته در این نوتیفیکیشن دکمه ی آپدیت نیز وجود داشت که کاربر بتواند توسط آن تغییرات را اعمال کند. هنگامی که کاربر بر روی آن کلیک می کند، یک فایل جاوا اسکریپتی با نام Win.JSFontlib09.js. دریافت می کند. این فایل به منظور دانلود و نصب باج افزار Locky طراحی شده است.
از طرفی دیگر با به روزرسانی فونت HoeflerText در کروم فایل ها به "Font_Chrome.exe" تبدیل می شوند. طبق گفته ی محققان امنیتی می گویند: در زمانی که بدافزار فعالیت های خود را آغاز می کند، NetSupport ابزار مدیریت از راه دور را بر روی سیستم نصب می کند.
آن ها همچنین گفتند: از این رفتار خیلی چیزها را در مورد این بدافزار می توان یافت: چنین حمله ای انگیزه های خبیثانه ی مجرمان را نشان میدهد. هنوز مشخص نیست که این بار چرا باج افزار Locky از این راه دست به کار شده و به میدان آمده است. اما این را به خوبی می دانیم که باج افزارها تهدیدات جدی هستند که هر روزه به شکلی عجیب ظاهر می وشند و ما شاهد رشد و افزایش تعداد آن ها هستیم. در حال حاضر نیز نظاره گر یکی از بزرگترین نرم افزارهای مخربی هستیم که هرزگاهی با شکلی جدید به عرصه ی سایبری می آید و بدافزارها را پخش می کند.
محققان امنیتی بر این باور هستند که RATها در بین مجرمان محبوبیت بسیاری دارند و در طول مبارزات موفق هستند. علت موفقیت آن ها توانایی های آن ها در کامپیوترها است که می تواند به آلودگی سیستم منجر شود و به راحتی باج افزارها را در آن ها شیوع دهد.
بازگشت باج افزار Mamba پس از یکسال
Mamba یکی دیگر از باج افزارهای قدرتمند در جهان است که کل هارد دیسک را با رمزنگاری های خود آلوده و عملا استفاده از آن را بی فایده می کند. مگر اینکه باج پرداخت شود که آن هم باز تضمینی برای بازگشت وجود نخواهد داشت.
تاکتیک های مشابه نیز توسط حملات دیگر باج افزارها همانند پتیا و واناکرای استفاده شده است اما در باج افزارMamba هدف اصلی تخریب سازمان ها و شرکت های صنعتی بزرگ بوده است و نه بدست آوردن بیت کوین و درآمدزایی.
در اواخر سال گذشته، Mamba شبکه ی حمل و نقل شهری سان فرانسیسکو را در هفته ی شکرگزاری آن ها آلوده کرد و این موضوع باعث شد تا تاخیر بسیار زیادی در حرکت قطارها پیش بیاید و مسئولین ورود به قطارها را بستند و باعث آشفتگی خاطر ساکنین و مسافران شد.
در حال حاضر محققان لابراتوار کسپرسکی کمپینی را به منظور توزیع آلودگی های باج افزار Mamba شناسایی کرده اند که شرکت های بزرگ را به ویژه در کشورهای برزیل و عربستان سعودی مورد هدف قرار داده است.
Mamba با استفاده از یک ابزار کاملا قانونی که DiskCryptor نامیده می شود، درایوهای سیستم های سازمان ها را مورد حمله قرار می دهد. بنابراین هیچ راهی برای رمزگشایی داده هایی که توسط الگوریتم های رمزنگاری DiskCryptor انجام می شود وجود نخواهد داشت.
اگرچه مشخص نیست که Mamba از چه طریق به سیستم شبکه ی یک سازمان نفوذ می کند اما بسیاری از محققان امنیتی بر این باور هستند که Mamba هم همانند دیگر باج افزارها می تواند از ضمیمه های مخرب در ارسال ایمیل های خود استفاده کند.
به خاطر داشته باشید که پرداخت باج به مجرمان راهی معقولانه نیست و امکان فریب در این راه نیز وجود خواهد داشت.
چگونه مقابل باج افزارها از خود محافظت کنیم؟
باج افزارها یکی از بزرگترین تهدیدات سایبری هستند که افراد و سازمان های بسیاری تجربه ی قربانی شدن توسط آن ها را دارند.
در حال حاضر هیچ ابزار رمزگشایی برای اطلاعات قفل شده توسط باج افزارهای Mamba و Locky وجود ندارد. به همین خاطر به کاربران و سازمان ها توصیه می شود اکیدا موارد امنیتی را رعایت و به دنبال اقدامات پیشگیرانه در برابر آن ها باشند.
مراقب ایمیل های فیشینگ باشید: همیشه به ایمیل های ارسال شده مشکوک باشید، ایمیل ها می توانند حاوی ضمیمه های مخربی باشند که تنها با کلیک بر روی آن ها کل شبکه آلوده و مشکلات عدیدی برای شما پیش آید.
از تمامی اطلاعات خود به طور منظم بک آپ گیری کنید: یکی از مهمترین مزایای بک آپ گیری اسن است که حتی اگر سیستم شما به سرقت برود و تمام اطلاعات حیاتی شما رمزنگاری شود، شما چیزی را برای از دست دادن نخواهید داشت و از این بابت نگران نخواهید شد و حاضر به پرداخت باج های سنگین نخواهید شد.
حتما از یک راهکار امنیتی قوی و قابل اعتمادhttps://irkaspersky.com/e-store استفاده کنید و نرم افزارهای خود را به روز نگه دارید: به روز نگه داشتن آن ها شما را از پیشرفته ترین حملات حفظ خواهد کرد.
منبع: کسپرسکی آنلاین(ایدکو)
* کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکی، کسپراسکای، و یا کاسپراسکای نیز میشناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکي نام دارد.