یوروپل: ابزارهای ضد باج افزار بالغ بر ۱۰۸ میلیون دلار به هکرها ضرر زده‌اند

همزمان با سومین سالگرد راه اندازی سرویس ضد باج افزار «باج‌دهی دیگر بس است»، پلیس یوروپل اعلام کرد کاربرانی که با استفاده از ابزارهای این وب سایت اقدام به از کار انداختن باج افزارهای مختلف کرده اند، از روانه شدن حداقل ۱۰۸ میلیون دلار به جیب کلاهبرداران اینترنتی جلوگیری کرده اند.
 
پروژه «باج‌دهی دیگر بس است» (No More Ransomware) اکنون دارای بیش از ۸۲ ابزار برای از کار انداختن ۱۰۹ باج افزار مختلف است. اکثر ضد باج افزارها توسط شرکت های آنتی ویروس مثل امسی‌سافت، آواست، بیت دیفندر و نهادهای امنیتی مثل پلیس ملی، گروه های پاسخگویی حوادث رایانه ای (CERT) و شرکت هایی مانند Bleeping Computer توسعه داده شده و روی این سرویس قرار گرفته اند.
 
به عنوان نمونه ابزار ضد باج افزار GrandCrab این سایت، به تنهایی بالغ بر ۵۰ میلیون دلار اخاذی ها را کاهش داده. فعال ترین شرکت توسعه دهنده ضدباج افزار کمپانی امسی‌سافت است که ۳۲ ضد باج افزار مختلف را توسعه داده است.
 
روی هم رفته یوروپل گزارش داده که از زمان راه اندازی پروژه No More Ransomware بیش از ۳ میلیون کاربر از ۱۸۸ کشور دنیا از سایت بازدید کرده و بیش از ۲۰۰ هزار کاربر نیز از ابزارهای ضد باج افزار آن استفاده کرده اند. بیشتر بازدیدکنندگان از کره جنوبی، آمریکا، هلند، روسیه و برزیل هستند.
 
 
Capture.JPG
ژوئیه سال ۲۰۱۶ پروژه «باج‌دهی دیگر بس است» توسط پلیس هلند، کسپرسکی و مک آفی راه اندازی شد اما اکنون بیش از ۱۵۰ شریک از سراسر دنیا دارد. کمپانی امسی‌سافت معتقد است مبلغ واقعی جلوگیری از کلاهبرداری بسیار بیشتر از مبلغ اعلام شده از سوی یوروپل است. سخنگوی امسی‌سافت می گوید:
 
«۱۰۸ میلیون دلار اعلام شده از سوی یوروپل بسیار ناچیز است. این رقم بر اساس آمار استفاده از ابزارهای ضدباج افزار تخمین زده شده است ولی هیچ کدام از ابزارهای ساخت شرکت ما آمار تعداد استفاده را به ما نمی دهند. ابزارهای ما بیش از ۱.۶ میلیون بار دانلود شده اند، بنابراین اگر دقیق تر باشیم روی هم رفته تقریباً ۸۰۰ میلیون دلار در کلاهبرداری ها صرفه جویی شده است.»
 
علاوه بر ابزار امسی‌سافت، ابزارهای ساخته شده توسط کمپانی Bleeping Home نیز آمار تعداد استفاده شدن را به مرکز ارسال نکرده و به همین دلیل مبلغ نهایی بالاتر از برآورد امسی سافت خواهد بود.

Sodin یک باج‌افزار معمولی نیست

اواخر ماه مارس سال جاری، خبری مبنی بر حمله‌ی باج‌افزاری موسوم به GandCrab به مشتریان «ارائه‌دهندگان خدمات مدیریت‌شده[1]» منتشر شد که از همان زمان احتمال می‌دادیم این تنها پرونده در نوع خود نخواهد بود. ارائه‌دهندگان خدمات مدیریت‌شده در حقیقت برای مجرمان سایبری آنقدر لقمه‌ی چرب و نرمی هستند که نمی‌شود نادیده‌شان گرفت. ظاهراً هم حق با ما بود.
روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)؛ در ماه آوریل، باج‌افزاری تحت عنوان Sodin توجه متخصصین ما را جلب کرد. این باج‌افزار با باج‌افزارهای دیگر تفاوت داشت؛ تفاوتش هم این بود که علاوه بر استفاده از شکاف‌های امنیتی در سیستم MSPها همچنین از آسیب‌پذیری‌ای در پلت‌فرم Oracle WebLogic نیز اکسپلویت می‌کرده است. و برخلاف معمول که همیشه باج‌افزار به داخلت کاربری نیاز دارد (برای مثال نیاز قربانی به اجرای یک فایل از ایمیل فیشینگ) در این مورد خاص هیچ مداخله‌ی کاربری‌ای نیز در کار نیست. از دیدگاه ما جالب‌ترین چیز در مورد این بدافزار، طریقه‌ی توزیعش است.
 
روش‌های توزیع Sodin
مهاجمین با هدف توزیع این بدافزار برای اجرای فرمان PowerShell روی سرور آسیب‌پذیرِ Oracle WebLogic بوسیله‌ی WebLogic از آسیب‌پذیری CVE-2019-2725 استفاده کردند. این کار بدان‌ها اجازه داد تا یک دراپر در سرور آپلود که بعداً هم نصب پی‌لود را به همراه داشت. پی‌لود چه بود: همان باج‌افزار Sodin. پچ‌های این باگ در تاریخ آوریل منتشر شدند اما اواخر ماه ژوئن باز آسیب‌پذیری مشابهی کشف شد- CVE-2019-2729.
در حملاتی که پای MSPها وسط می‌آید، Sodin به طرق مختلف روی دستگاه کاربر می‌نشیند. کاربرانِ دست کم سه ارائه‌دهنده‌ی خدمات مدیریت‌شده همین الانش هم قربانی این تروجان شدند. گفته می‌شود در برخی موارد مهاجمین از کنسول‌های دسترسی ریموت Webroot و Kaseya برای تزریق این تروجان استفاده کرده بودند. در برخی موارد دیگر مهاجمین با استفاده از کانکشن RDP، امتیازات بالا، راه‌حل‌های امنیتی دی‌اکتیوشده و بک‌آپ‌ها توانستند به زیرساخت MSP نفوذ کنند. سپس آن‌ها باج‌افزار در کامپیوتر مشتری دانلود کردند.
 
چه کاری از دست ارائه‌دهندگان سرویس برمی‌آید؟ ‌
برای شروع، تا جایی که ممکن است ذخیره‌ی رمزعبور برای دسترسی ریموت و همچنین احراز هویت دو عاملی را جدی بگیرید. کنسول‌های ریموت Kaseya و Webroot هر دو از احراز هویت دو عاملی پشتیبانی می‌کنند. علاوه بر این، بعد از این رویداد، توسعه‌دهندگان شروع کردند به در اختیار گرفتنِ کارکردِ آن. ظاهراً مهاجمینی که Sodin را توزیع می‌کنند منتظر یک فرصت استثنائی نیستند؛ آن‌ها از قصد دنبال متودهای گوناگونند تا بتوانند این بدافزار را از طریق ارائه‌دهندگان MSP توزیع کنند. به همین دلیل مجبورند به دقت به تمام ابزار دیگر که در این حوزه مورد استفاده قرار می‌گیرند نگاه کنند.
MSPها و خصوصاً آن‌هایی که خدماتی در راستای امنیت سایبری ارائه می‌دهند باید از زیرساخت‌های خود نهایت حراست را بکنند (حتی باید بیش از اینکه حواسشان به زیرساخت کلاینت است به زیرساخت خودشان باشد).
 
شرکت‌های دیگر باید چکار کنند؟
البته که آپدیت کردن نرم‌افزار هنوز هم از مهم‌ترین کارهاست. اینکه بدافزاری با آسیب‌پذیری‌هایی کشف‌شده به زیرساخت نفوذ کند و چند ماه پیش تازه بخواهد پچ شود نشان از سهل‌انگاری در اموری بسیار ساده دارد. شرکت‌هایی که از Oracle WebLogic استفاده می‌کنند ابتدا می‌بایست خود را با مشاوره‌های امنیتی Oracle (برای هر دو آسیب‌پذیری) آشنا کنند- CVE-2019-2725 و CVE-2019-2729. همچنین توصیه می‌کنیم از راه‌حل‌های امنیتی مطمئنی استفاده کنید که زیرمجموعه‌های مجهز به شناسایی باج‌افزار دارند و می‌توانند ایستگاه‌های کار را از گزند آن‌ها مصون نگه دارند.

Sodin یک باج‌افزار معمولی نیست

اواخر ماه مارس سال جاری، خبری مبنی بر حمله‌ی باج‌افزاری موسوم به GandCrab به مشتریان «ارائه‌دهندگان خدمات مدیریت‌شده[1]» منتشر شد که از همان زمان احتمال می‌دادیم این تنها پرونده در نوع خود نخواهد بود. ارائه‌دهندگان خدمات مدیریت‌شده در حقیقت برای مجرمان سایبری آنقدر لقمه‌ی چرب و نرمی هستند که نمی‌شود نادیده‌شان گرفت. ظاهراً هم حق با ما بود.
روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)؛ در ماه آوریل، باج‌افزاری تحت عنوان Sodin توجه متخصصین ما را جلب کرد. این باج‌افزار با باج‌افزارهای دیگر تفاوت داشت؛ تفاوتش هم این بود که علاوه بر استفاده از شکاف‌های امنیتی در سیستم MSPها همچنین از آسیب‌پذیری‌ای در پلت‌فرم Oracle WebLogic نیز اکسپلویت می‌کرده است. و برخلاف معمول که همیشه باج‌افزار به داخلت کاربری نیاز دارد (برای مثال نیاز قربانی به اجرای یک فایل از ایمیل فیشینگ) در این مورد خاص هیچ مداخله‌ی کاربری‌ای نیز در کار نیست. از دیدگاه ما جالب‌ترین چیز در مورد این بدافزار، طریقه‌ی توزیعش است.
 
روش‌های توزیع Sodin
مهاجمین با هدف توزیع این بدافزار برای اجرای فرمان PowerShell روی سرور آسیب‌پذیرِ Oracle WebLogic بوسیله‌ی WebLogic از آسیب‌پذیری CVE-2019-2725 استفاده کردند. این کار بدان‌ها اجازه داد تا یک دراپر در سرور آپلود که بعداً هم نصب پی‌لود را به همراه داشت. پی‌لود چه بود: همان باج‌افزار Sodin. پچ‌های این باگ در تاریخ آوریل منتشر شدند اما اواخر ماه ژوئن باز آسیب‌پذیری مشابهی کشف شد- CVE-2019-2729.
در حملاتی که پای MSPها وسط می‌آید، Sodin به طرق مختلف روی دستگاه کاربر می‌نشیند. کاربرانِ دست کم سه ارائه‌دهنده‌ی خدمات مدیریت‌شده همین الانش هم قربانی این تروجان شدند. گفته می‌شود در برخی موارد مهاجمین از کنسول‌های دسترسی ریموت Webroot و Kaseya برای تزریق این تروجان استفاده کرده بودند. در برخی موارد دیگر مهاجمین با استفاده از کانکشن RDP، امتیازات بالا، راه‌حل‌های امنیتی دی‌اکتیوشده و بک‌آپ‌ها توانستند به زیرساخت MSP نفوذ کنند. سپس آن‌ها باج‌افزار در کامپیوتر مشتری دانلود کردند.
 
چه کاری از دست ارائه‌دهندگان سرویس برمی‌آید؟ ‌
برای شروع، تا جایی که ممکن است ذخیره‌ی رمزعبور برای دسترسی ریموت و همچنین احراز هویت دو عاملی را جدی بگیرید. کنسول‌های ریموت Kaseya و Webroot هر دو از احراز هویت دو عاملی پشتیبانی می‌کنند. علاوه بر این، بعد از این رویداد، توسعه‌دهندگان شروع کردند به در اختیار گرفتنِ کارکردِ آن. ظاهراً مهاجمینی که Sodin را توزیع می‌کنند منتظر یک فرصت استثنائی نیستند؛ آن‌ها از قصد دنبال متودهای گوناگونند تا بتوانند این بدافزار را از طریق ارائه‌دهندگان MSP توزیع کنند. به همین دلیل مجبورند به دقت به تمام ابزار دیگر که در این حوزه مورد استفاده قرار می‌گیرند نگاه کنند.
MSPها و خصوصاً آن‌هایی که خدماتی در راستای امنیت سایبری ارائه می‌دهند باید از زیرساخت‌های خود نهایت حراست را بکنند (حتی باید بیش از اینکه حواسشان به زیرساخت کلاینت است به زیرساخت خودشان باشد).
 
شرکت‌های دیگر باید چکار کنند؟
البته که آپدیت کردن نرم‌افزار هنوز هم از مهم‌ترین کارهاست. اینکه بدافزاری با آسیب‌پذیری‌هایی کشف‌شده به زیرساخت نفوذ کند و چند ماه پیش تازه بخواهد پچ شود نشان از سهل‌انگاری در اموری بسیار ساده دارد. شرکت‌هایی که از Oracle WebLogic استفاده می‌کنند ابتدا می‌بایست خود را با مشاوره‌های امنیتی Oracle (برای هر دو آسیب‌پذیری) آشنا کنند- CVE-2019-2725 و CVE-2019-2729. همچنین توصیه می‌کنیم از راه‌حل‌های امنیتی مطمئنی استفاده کنید که زیرمجموعه‌های مجهز به شناسایی باج‌افزار دارند و می‌توانند ایستگاه‌های کار را از گزند آن‌ها مصون نگه دارند.

سوءاستفاده باج افزاری از آسیب پذیری ویندوز

مرکز مدیریت راهبردی افتای ریاست جمهوری نسبت به سوءاستفاده یک ویروس باج گیر (باج افزار) جدید از آسیب پذیری سیستم عامل ویندوز هشدار داد.
 
به گزارش معاونت بررسی مرکز افتا، باج‌افزار Sodinokibi با بهره‌برداری از یک آسیب‌پذیری در مؤلفه Win۳۲k در نسخه‌های مختلف ویندوز، در حال افزایش سطح دسترسی خود است. این باج‌افزار اولین بار در ماه آوریل، زمانی که سوءاستفاده از یک آسیب‌پذیری بحرانی در Oracle WebLogic را آغاز کرد، شناسایی شد.
 
باج‌افزار Sodinokibi با نام REvil هم شناخته می‌شود و از آسیب‌پذیری CVE-۲۰۱۸-۸۴۵۳ بهره‌برداری می‌کند. این آسیب‌پذیری توسط مایکروسافت در ماه اکتبر سال ۲۰۱۸ رفع شد.
 
بر اساس تحلیل انجام شده توسط پژوهشگران، در کد بدافزار یک بخش پیکربندی به صورت رمز شده وجود دارد که حاوی اطلاعات و تنظیمات مورد نیاز برای فعالیت بدافزار است. به طور جزئی‌تر، کد پیکربندی حاوی فیلدهایی برای کلید عمومی، شناسه‌های حمله و توزیع‌کننده باج‌افزار، پسوندهایی که نباید رمزگذاری شوند، نام فرایندهای پردازشی که باید متوقف شوند، آدرس سرورهای فرمان و کنترل، قالب متن باج‌خواهی و گزینه‌های دیگری است که استفاده از یک اکسپلویت را برای افزایش سطح دسترسی٬ فعال می‌کند.
 
نمونه بدافزار تحلیل شده توسط پژوهشگران کسپرسکی، از یک فرایند ترکیبی برای رمزگذاری داده‌ها استفاده می‌کند. پژوهشگران متوجه شدند که باج‌افزار کلید عمومی و کلید خصوصی را در رجیستری ذخیره می‌کند. پس از رمزگذاری فایل‌ها، باج‌افزار به ازای هر سیستم قربانی یک پسوند تصادفی قرار می‌دهد. قربانی باید کلید و پسوند فایل‌های رمز شده را در سایت مهاجم وارد کند تا میزان مبلغ باج را مشاهده کند. این باج‌افزار سیستم‌های مختلفی را در سراسر جهان آلوده کرده است.

بیمارستان های انگلیس هنوز در معرض خطر باج افزار واناکرای

مقامات انگلیسی هشدار داده اند که این کشور هنوز در برابر خطر حملات سایبری ناشی از باج افزار وانا کرای آسیب پذیر است و برای جلوگیری از سوءاستفاده‌های آن باید تدابیری اتخاذ شود.
 
به گزارش زددی نت، مقامات انگلیسی هشدار داده اند که این کشور هنوز در برابر خطر حملات سایبری ناشی از باج افزار وانا کرای آسیب پذیر است و برای جلوگیری از سوءاستفاده های آن باید تدابیری اتخاذ شود.گزارشی که در این زمینه توسط کالج سلطنتی لندن تهیه شده نشان می دهد که به علت عدم به روزرسانی سیستم های رایانه ای مورد استفاده در شبکه بهداشت و درمان انگلیس و ناآشنایی کارکنان بیمارستان ها و مراکز درمانی با مهارت های امنیت سایبری، خطرات جدی در این زمینه بیماران و پزشکان را تهدید می کند.
 
وانا کرای در صورت حمله به بیمارستان ها و مراکز درمان انگلیس جلوی دسترسی به اطلاعات درمانی بیماران را می گیرد یا حتی ممکن است تجهیزات پزشکی حیاتی مورد استفاده را از کار بیندازد و موجب مرگ بیماران شود. همچنین باج افزار یادشده برای سرقت اطلاعات  بیماران قابل استفاده است.
 
پیش از این و در سال 2017 حمله باج افزار وانا کرای به شبکه بهداشت و درمان انگلیس باعث لغو هزاران قرار ملاقات پزشکان و بیماران شده و بالغ بر 92 میلیون پوند خسارت به بار آورده بود.

باج افزار، کامپیوترهای شهر لیک‌سیتی فلوریدا را از کار انداخت

مقامات شهر لیک‌ستی در فلوریدای ایالات متحده، با پرداخت 500 هزار دلار به باجگیران کامپیوتری موافقت کردند.
 
روز دهم ماه ژوئن، انتشار یک باج‌افزار موجب از کار افتادن کامپیوترهای دولتی شهر لیک‌سیتی در کالیفرنیا شد و باجگیران، درخواست 500 هزار دلار برای آزاد کردن فایل‌های کامپیوتری داشتند؛ خواسته‌ای که پس از نزدیک به سه هفته، مقامات شهری به آن تن دادند.
 
پیش از موافقت با پرداخت باج مذکور، دستگاه‌های دولتی در این شهر مجبور شدند به سیستم قدیمی کاغذی روی بیاورند. روز دهم ماه‌ ژوئن، شورای شهر لیک‌سیتی در بیانیه‌ای اعلام کرد که پرداخت‌ ‌هزینه‌های شهری مانند آب و برق و گاز هم‌چنان از طریق مراجعه حضوری شهروندان انجام می‌شود؛ ولی سیستم کارت اعتباری در دسترس نیست.
 
حمله به لیک‌سیتی، دومین مورد از حمله‌های باج‌افزاری در فلوریدا در چند هفته گذشته است که نشان می‌دهد شهرهای آمریکا در برابر حملات سایبری آسیب‌پذیرند. هفته گذشته نیز شهر ویویرا بیچ در فلوریدا نیز مورد حمله قرار گرفت و مقامات شهری مجبور به پرداخت 600 هزار دلار بیت‌کوین به باج‌گیرها شدند. در ماه مارس گذشته نیز شهر آتلانتا در ایالت جورجیا، مورد حمله باج افزاری قرار گرفت.
 
پیش‌تر، شرکت تحقیقاتی امنیت سایبری Recorded Future گزارشی درباره حملات باج‌افزاری به دولت‌های فدرال و محلی انجام داده بود که نشان می‌داد  از ماه آوریل سه شهر لین در ماساچوست، کارترزویل در جورجیا و بالتیمور در مریلند، هدف حملات مشابهی بوده‌اند. در این میان بالتیمور، حداقل دوبار با حمله باج افزاری مواجه بوده است.
 
بررسی این شرکت امنیتی بیان می‌دارد که این حملات در آینده نیز ادامه خواهد داشت.
 

سرورهای MySQL به باج‌افزار آلوده شد

این طور که گزارش‌های جدید نشان می‌دهد، دستکم یک گروه هکری چینی موفق شده است سرورهای مخصوص ویندوز که روی آن پایگاه داده MySQL اجرا می‌شود را اسکن کند و آنها توانسته‌اند این سیستم‌ها را به باج‌افزار GandCrab آلوده کنند.
 
این حملات تا حدودی منحصر به فرد بوده است و شرکت‌های فعال در حوزه امنیت سایبری اعلام کردند که تاکنون هیچ گونه حمله‌ای که سرورهای MySQL روی سیستم‌های ویندوزی را مورد هدف قرار دهد و آنها را به باج‌افزار آلوده کند مشاهده نکرده بودند.
 
«اندرو برنت» مدیر تحقیقات مرکز Sophos که در اصل این حملات را شناسایی کرده بود، از آنها به عنوان «کشف غیرمترقبه» یاد کرد.
 
این محقق امروز با انتشار مطلبی روی وبلاگ رسمی شرکت Sophos  جزییات مربوط به فعالیت هکری جدید و اسکن سرورهای ویندوز را توضیح داد.
 
برنت اعلام کرد هکرها توانسته‌اند پایگاه‌های داده MySQL با قابلیت دسترسی اینترنتی را اسکن کنند. این پایگاه‌ها داده قابلیت پذیرش کدهای دستوری SQL را دارند تا از این طریق وضعیت سرور اصلی که ویندوز روی آن اجرا می‌شود را تحلیل کنند و در این میان هکرها از کدهای دستور مخرب SQL استفاده کردند تا فایل مورد نظر خود را روی سرورها نصب کنند. این اتفاق به آنها امکان داد تا بتوانند باج‌افزار GandCrab را روی سرورهای ویندوزی نصب کنند.
 
در حالی که بیشتر مدیران سیستم به صورت معمول با رمز عبور از سرورهای MySQL خود محافظت می‌کنند، هدف هکرها از اسکن‌های صورت گرفته بهره‌برداری فرصت طلبانه از پایگاه‌های داده‌ فاقد رمز عبور بوده است.
 

تلاش هکرها برای نصب باج‌افزار از طریق نفوذ به سرورهای MySQL

هکرها در حال اسکن اینترنت هستند تا سرورهای ویندوز که در حال اجرای پایگاه‌داده MySQL هستند را شناسایی کنند و سپس آن‌ها را با باج‌افزار GandCrab آلوده کنند.
 
به گزارش مرکز افتا به نقل از وبسایت ZDNet، این حملات به نوعی جدید هستند و پژوهشگران تاکنون هدف قرار گرفتن سرورهای MySQL را برای نصب باج‌افزار مشاهده نکرده اند.
 
آنها اعلام کرده‌اند که هکرها پایگاه‌داده‌های MySQL قابل دسترس از اینترنت و قبول کننده دستورهای SQL را اسکن می‌کنند تا در صورت ویندوزی بودن سرور آن، با دستورهای SQL مخرب یک فایل در سرور هدف قرار داده و باج‌افزار GandCrab را در فضای میزبان نصب می‌کنند.
 
با این که اکثر مدیران سیستم‌ها، با گذرواژه از سرورهای MySQL محافظت می‌کنند، مهاجمین اسکن خود را بر مبنای یافتن سرورهایی که دارای پیکربندی مناسبی نیستند یا برای آن‌ها گذرواژه تعریف نشده است، انجام می‌دهند.
 
پژوهشگران در این حملات یک سرور از راه دور را شناسایی کردند که روی آن HFS یا HTTP File Server در حال اجرا است. HFS یک وب سرور مبتنی بر ویندوز است. در این سرور پنج فایل اجرایی با نام ۳۳۰۶ مشاهده شده و تعداد دانلود هر یک مشخص است.
 
در سرور شناسایی شده یک فایل اجرایی لینوکس ELF با نام RDP نیز وجود دارد که در این حمله از آن استفاده نشده است.
 
در زمان تهیه این گزارش، فایل ۳۳۰۶-۱.exe که در هانی‌پات پژوهشگران شناسایی شده٬ بیش از ۵۵۰ بار دانلود شده است.
 
همچنین سایر فایل‌ها (۳۳۰۶-۲.exe، ۳۳۰۶-۳.exe و ۳۳۰۶-۴.exe) به همراه فایل اول، در مجموع ۸۴۲ بار دانلود شده‌اند که نشان دهنده قربانیان حمله است.
 
با اینکه دامنه این حمله گسترده و وسیع نیست، اما این گونه حملات تهدیدی مهم برای سرورهای MySQL که پورت ۳۳۰۶ آن‌ها در معرض دسترسی است، تلقی می‌شود.
 
نشانه‌های آلودگی (IoC)
 
نمونه‌های GandCrab:
•  c۸۳bf۹۰۰eb۷۵۹e۵de۵c۸b۰۶۹۷a۱۰۱ce۸۱۵۷۳۸۷۴a۴۴۰ac۰۷ae۴ecbc۵۶c۴f۶۹۳۳۱
 
•  ۰۱۷b۲۳۶bf۳۸a۱cf۹a۵۲fc۰bdee۲d۵f۲۳f۰۳۸b۰۰f۹۸۱۱c۸a۵۸b۸b۶۶b۱c۷۵۶b۸d۶
 
 
cna۱۲.dll:
•   ۱f۸۶۵۶۱ca۸ff۳۰۲df۲a۶۴e۶d۱۲ff۵۳۰bb۴۶۱f۹a۹۳cf۹b۷c۰۷۴۶۹۹e۸۳۴f۵۹ef۴۴
 
 
IPهای میزبان مهاجم:
•    ۱۷۲,۹۶.۱۴.۱۳۴:۵۴۷۱ (GandCrab host)
•    ۱۴۸,۷۲.۱۷۱.۸۳ (MySQL attacker)
 

باج ۴۰۰ هزار دلاری مقامات آمریکا به یک باج افزارنویس

مقامات محلی در شهرستان جکسون واقع در ایالت جورجیای آمریکا در اقدامی عجیب و بی سابقه ۴۰۰ هزار دلار به یک باج افزارنویس پول دادند تا وی اطلاعات مسروقه دولتی را به آنها بازگرداند.
 
به گزارش زددی نت، این باج افزار نویس با نفوذ به شبکه رایانه‌ای مورد استفاده در ادارات دولتی محلی، استفاده از آن را ناممکن کرده و با استفاده از یک بدافزار تمامی داده‌های موجود در این شبکه‌ها را قفل کرده و از دسترس خارج کرده بود.
 
بدافزار مذکور هفته گذشته شبکه رایانه‌ای مذکور را به طور کامل از کار انداخت و باعث شد تنها خدمات پلیس ۹۱۱ به طور کامل در دسترس مردم باشد. به گفته جنیس منگام کلانتر جکسون همه چیز آفلاین شد و کارکنان دولتی مجبور شدند برای پیشبرد امور از کاغذ و قلم استفاده کنند. سپس وی و بقیه مقامات محلی با مشورت اف بی آی، یک مشاور امنیت سایبری استخدام کردند و او پس از تماس با باج افزارنویس و اقناع مسئولان محلی ۴۰۰ هزار دلار به هکر یا هکرها پرداخت کرد تا کلید رمزگشایی داده‌ها و دسترسی به فایل‌های قفل شده را به دست آورد.
 
مسئولان محلی می‌گویند اگر چنین پولی را پرداخت نمی‌کردند، مجبور می‌شدند چندین ماه را صرف بازسازی سیستم‌های قدیمی کنند که هزینه به مراتب بیشتری را به آنها تحمیل می‌کرد. باج افزار مورد استفاده برای این خرابکاری Ryunk نام دارد که بررسی‌ها نشان می‌دهد توسط افرادی در اروپای شرقی طراحی شده است.
 
پیش از این Ryunk به یک شرکت میزبانی وب در کره جنوبی هم حمله کرده بود و این شرکت هم برای رهایی از مشکل مجبور به پرداخت باجی ۱.۱۴ میلیون دلاری شده بود.

هکرها به ازای دریافت بیت‌کوین باج می‌گیرند

محققان و پژوهشگران امنیتی به تازگی دریافته اند که مجرمان سایبری با انتشار یک بدافزار کاربران و مشتریان ارزهای دیجیتال رمزنگاری شده را هدف قرار داده و از آنها باج خواهی کرده اند.
 
این روزها که بازار ارزهای دیجیتالی رمزنگاری شده بسیار داغ شده است، وب‌سایت‌ها، حساب‌های کاربری و پلت‌فرم‌های بسیاری برای استخراج بیت‌کوین یا بیت‌کوین ماینینگ ایجاد شده است تا بتوانند با استفاده از آنها، به خرید و فروش و مبادلات تجاری کلان اقدام کنند. از طرفی دیگر، استقبال بی‌نظیر کاربران جهانی از ارزهای رمزپایه فرصت خوبی را برای هکرها و مجرمان سایبری فراهم آورده است تا بتوانند با هک حساب‌های کاربری آنها و نفوذ به پلت‌فرم صرافی‌های ارزهای دیجیتالی، از طریق حملات سایبری گسترده مبالغ هنگفتی را به سرقت ببرند.
 
یک بدافزاری که به تازگی از سوی محققان و پژوهشگران امنیتی کشف و اعلام شده است، آن دسته از کاربرانی را که به هدف استخراج و ماینینگ بیت کوین و سایر ارزهای دیجیتالی رمزنگاری شده، در سایت‌های مختلف اقدام کرده بوده و قصد داشتند از این طریق ثروت هنگفتی را به جیب بزنند، مورد هجوم و حمله سایبری قرار داده است در ازای قفل و رمزنگاری برنامه و فایل‌های شخصی و مورد استفاده کاربران از آنها درخواست بیت کوین کرده‌اند.
 
بر اساس گزارش وب سایت کوین تلگراف، بسیاری از قربانیان نیز بدین ترتیب مجبورخواهند بود در ازای دریافت و بازپس‌گیری فایل‌های شخصی و موردنیاز خود، بیت کوین‌های درخواستی هکرها و مجرمان سایبری را تهیه و تحویل آنها دهند.
 
افزایش بهای ارزهای دیجیتالی رمزنگاری شده در سال‌های اخیر موجب شده که هکرها و مجرمان سایبری بیشتری به سمت و سوی درآمدزایی از طریق نفوذ به حساب‌های کاربری افراد در پلت‌فرم صرافی‌های دیجیتال جذب شوند و بدین ترتیب درآمدهای هنگفتی را از آن خود کنند. به عبارت دیگر، در سال ۲۰۱۷ میلادی تنها ۲۶۶ میلیون دلار ارز دیجیتالی به سرقت رفته بود این در حالیست که این رقم در سال جاری به حدود یک میلیارد دلار رسیده است و این عدد خود به تنهایی آغازی برای یک فاجعه در زمینه فناوری اطلاعات و امنیت سایبری به شمار خواهد آمد.
 
آمار حملات سایبری و هک در سال گذشته میلادی، به اوج خود رسیده است و با توجه به افزایش روزافزون حملات سایبری از سوی هکرها؛ کشورها و شرکت‌های کوچک و بزرگ بسیاری در سراسر جهان، هدف اینگونه حملات قرار گرفته و آسیب‌ها و خسارات جبران‌ناپذیری را متحمل شده‌اند.