نسخه جدید باج افزار «لاک بیت» منتشر شد

/در , , , , , , /توسط
 
مرکز مدیریت راهبردی افتای ریاست جمهوری اعلام کرد: به‌تازگی نسخه جدیدی از باج‌افزار لاک بیت ( LockBit ۲.۰ ) کشف شده که قربانیان اصلی آن فایل‌های ذخیره شده روی دستگاه‌های عضو دامنه هستند.
 
به‌گزارش مرکز مدیریت راهبردی افتا، به‌تازگی نسخه جدیدی از باج‌افزار LockBit ۲.۰ کشف شده است که فایل‌های ذخیره شده روی دستگاه‌های عضو دامنه را به‌صورت خودکار و از طریق Group Policy رمزگذاری می‌کند.
 
نمونه‌های جدید باج افزار «لاک بیت ۲» بدون استفاده از کد خاصی، باج‌افزار را روی سرورهای Domain Controller اجرا می‌کنند، بدین نحو که پس از اجرا شدن، نسخ جدیدی از Group Policy در سطح دامنه ایجاد و سپس روی تمامی دستگاه‌های عضو دامنه اعمال می‌شود.
 
باج افزار LockBit ۲.۰ همچنین به قابلیت جدیدی مجهز شده است که پیام باج‌گیری (Ransom Note) را به‌تمامی چاپگرهای متصل به شبکه ارسال می‌کند؛ استفاده از این تکنیک قبلاً در باج‌افزار Egregor استفاده شده است.
 
هنگامی که رمزگذاری فایل‌های یک دستگاه به پایان می‌رسد باج‌افزار برای جلب توجه قربانی، به طور مستمر پیام باج‌گیری را به هر چاپگر متصل به شبکه ارسال می‌کند؛ پیش از این، در حمله باج افزار Egregor به شرکت چندملیتی خرده‌فروشی سنکوسود (Cenconsud) باج‌افزار پیام باج‌گیری را به هر چاپگر متصل به شبکه ارسال کرد، به طوری که این پیام توسط چاپگرهای رسید خرید نیز چاپ شدند.
 
نخستین نسخه از باج افزار LockBit در اواخر تابستان ۱۳۹۸، در قالب «باج‌افزار به‌عنوان سرویس» رواج یافت که در آن صاحب باج‌افزار، فایل مخرب را به‌عنوان یک سرویس به متقاضی اجاره می‌دهد.
 
متقاضی که ممکن است در برنامه‌نویسی تخصصی هم نداشته باشد باج‌افزار را انتشار می‌دهد و در مقابل حدود ۷۰ تا ۸۰ درصد از باج دریافت شده از قربانی را دریافت می‌کند و مابقی به برنامه‌نویسان باج‌افزار می‌رسد.
 
در سال‌های اخیر، باج‌افزار LockBit بسیار فعال بوده است و گردانندگان آن علاوه بر تبلیغ فروش خدمات «باج‌افزار به‌عنوان سرویس» ، به ارائه خدمات پشتیبانی این باج‌افزار در تالارهای گفتگوی اینترنتی هکرها، نیز پرداخته‌اند.
 
اطلاعات تخصصی و راهنمایی فنی مرکز مدیریت راهبردی افتا برای شناخت باج افزار LockBit ۲.۰ در پایگاه اینترنتی این مرکز در اختیار کارشناسان، متخصصان و مدیران حوزه IT زیرساخت‌ها و سازمان‌ها قرار دارد.

سازمان‌های ایرانی هدف نوعی بدافزار با دام‌هایی به زبان فارسی

/در , , , , , /توسط
 
مرکز افتا اعلام کرد که سازمان‌های ایرانی در هفته‌های اخیر هدف بدافزار Agent Tesla قرار گرفته‌اند که در جریان آن ایمیل‌های جعلی با ظاهر و محتوای قابل‌باور به کاربران ارسال شده است.
 
به‌گزارش مرکز مدیریت راهبردی افتا، نکته قابل‌توجه در خصوص ایمیل‌های فیشینگ بدافزار Agent Tesla ، فارسی بودن محتوا و عنوان آنهاست که این خود احتمال به دام افتادن کاربران ایرانی را، افزایش داده است.
 
در مواردی گردانندگان این بدافزار برخی اجزای مخرب را روی سایت‌های معتبر قرار می‌دهند تا ارتباط با آن سایت‌ها، از سوی ابزارهای امنیتی و مسئولان امنیت مشکوک تلقی نشود.
 
دامنه وسیعی از مهاجمان از این بدافزار برای سرقت اطلاعات هویتی و اطلاعات بالقوه حساس از روش‌هایی همچون تصویربرداری از دسکتاپ، ثبت کلیدهای فشرده شده و استخراج محتوای کلیپ برد، بهره گرفته‌اند.
 
اصلی‌ترین روش انتشار Agent Tesla، ایمیل‌های Spam است که فایل حاوی این بدافزار را در پیوست خود به همراه دارند.
 
نکته مهم این بدافزار آن است که خریداران Agent Tesla قادر به سفارشی‌سازی بدافزار، توزیع و بهره‌برداری از آن به روش خود خواهند بود.
 
در نسخه‌های اخیر Agent Tesla از روش‌های مختلفی برای دشوار کردن افشای عملکرد بدافزار در سندباکس‌ها و در جریان تحلیل‌های ایستا بهره گرفته شده است.
 
بدافزار Agent Tesla می‌تواند در بستر برخی از پروتکل‌ها با سرور فرماندهی و کنترل خود ارتباط برقرار کند و داده‌های به سرقت رفته کاربران را این سرور ارسال کند.
 
در نسخه جدید، هنگام اجرای بدافزار، هر نمونه دیگر از این بدافزار در صورت فعال بودن متوقف خواهد شد و این سازوکار زمینه را برای ارتقای نسخه فعلی به نسخه جدید فراهم می‌کند.
 
پروتکل پرطرفداربرای بدافزار ، SMTP است. چون برای مهاجمان امن‌تر بوده و بهره‌گیری از آن به زیرساخت کمتری نیاز دارد.
 
یکی از اصلی‌ترین اقدامات مخرب Agent Tesla سرقت اطلاعات هویتی است. تعداد برنامه‌های هدف قرار گرفته شده توسط این بدافزار در هر نسخه جدید آن افزایش می‌یابد.
 
از جمله برنامه‌هایی که Agent Tesla برای دستیابی به اطلاعات هویتی آنها تلاش می‌کند، مرورگرها، نرم افزارهای مدیریت ایمیل و سایر نرم‌افزارها است.
 
طبق اعلام شرکت Sophos ، بدافزار Agent Tesla از مجموع ایمیل‌های حامل بدافزار در دسامبر ۲۰۲۰ سهمی ۲۰ درصدی را به خود اختصاص داده است.
 
کارشناسان مرکز مدیریت راهبردی افتا برای مقابله با تهدیدات بدافزار Agent Tesla به تمامی متخصصان، کارشناسان و مدیران IT دستگاه‌ها و سازمان‌های دارای زیرساخت حیاتی تاکید می‌کنند که از ضدویروس قدرتمند و به‌روز استفاده کنند.
 
آموزش و راهنمایی کاربران سازمان به‌صرفنظر کردن از فایل‌های مشکوک و باز نکردن آنها می‌تواند نقشی مؤثر در پیشگیری از اجرا شدن فایل‌های ارسالی بدافزار داشته باشد.
 
مسدود کردن ایمیل‌های دارای پیوست ماکرو در gateway شبکه، نصب همواره patch های امنیتی روی تمامی دستگاه‌ها و استفاده نکردن از هرگونه سیستم‌عامل از رده‌خارج شده از دیگر توصیه‌های امنیتی مرکز افتا است.
 
کارشناسان مرکز مدیریت راهبردی افتا از همه متولیان IT دستگاه‌ها و سازمان‌های دارای زیرساخت حیاتی خواسته اند تا با محدود کردن سطح دسترسی کاربران، موجب شوند تا حتی در صورت اجرا شدن فایل مخرب توسط کاربر، دستگاه به بدافزار Agent Tesla آلوده نشود.
 
اطلاعات فنی و امنیتی درباره بدافزار Agent Tesla، روش‌های نفوذ به سیستم‌های سازمان‌ها، قابلیت‌های نسخه‌های جدید و مشخصات پروتکل‌های مورد سو استفاده این بدافزار در پایگاه اینترنتی مرکز افتا منتشر شده است.