خدمات شبکه و پشتیبانی شبکه

تهدید جدید فیشینگ برای کاربران/ کشف نسخه تکامل یافته یک باج افزار

دی ۱۷, ۱۳۹۸/در Email, Phishing, ransomware, امنیت, فناوری اطلاعات /توسط ادمین

مرکز مدیریت راهبردی افتای ریاست جمهوری نسبت به تهدید جدید ایمیل های فیشینگ برای کاربران از طریق نسخه تکامل یافته باج‌افزار DeathRansom هشدار داد.

به نقل از مرکز مدیریت راهبردی افتای ریاست جمهوری، نسخه تکامل یافته باج‌افزار DeathRansom دارای قابلیت رمزگذاری فایل‌ها با استفاده از یک فرایند رمزگذاری مستحکم است.

پژوهشگران Fortinet که این باج افزار تکامل یافته را کشف کرده‌اند می گویند: باج‌افزار DeathRansom در دو ماه گذشته، به طور روزانه کاربران را هدف قرار داده است.

اولین آلودگی‌های DeathRansom در نوامبر ۲۰۱۹ گزارش شده است. نسخه‌های اولیه این باج‌افزار یک شوخی تلقی می‌شدند. در آن زمان این باج‌افزار صرفاً پسوند فایل‌ها را بدون رمزگذاری آن‌ها، تغییر می‌داد. این کار برای فریب کاربر جهت پرداخت مبلغ باج انجام می‌شد و کاربران تنها با تغییر پسوند فایل‌ها می‌توانستند آن‌ها را بازیابی کنند.

به گفته Fortinet، نمونه‌های جدید DeathRansom از یک ترکیب پیچیده از الگوریتم‌هایی چون Curve۲۵۵۱۹، Salsa۲۰، RSA-۲۰۴۸، AES-۲۵۶ ECB و XOR برای رمزگذاری فایل‌ها استفاده می‌کند.

کارشناسان افتا همچنان از کاربران می خواهند تا ایمیل‌های مشکوک را به هیچ وجه باز نکنند.

در همین حال پایگاه اینترنتی ZDNet به نقل از پژوهشگران Fortinet، اعلام کرده است: نویسنده این باج‌افزار مسئول طیف گسترده‌ای از کارزارهای مخرب سایبری در سال‌های گذشته بوده است. پیش از توسعه و توزیع باج‌افزار DeathRansom، اپراتور این بدافزار زمان خود را صرف آلوده کردن کاربران توسط چندین سارق گذرواژه از جمله Vidar، Azorult، Evrial و ۱ms۰rryStealer، و همچنین کاوش‌گرهای رمزارز مانند SupermeMiner کرده است.

نویسنده DeathRansom سال‌ها در آلوده‌سازی کاربران به بدافزارها، استخراج نام‌های کاربری و گذرواژه آن‌ها از مرورگرها و سرقت اطلاعات احراز هویت آنلاین فعالیت داشته است.

باج افزارها در سال ۲۰۱۹ به شهرداری‌ها علاقمند شدند

دی ۵, ۱۳۹۸/در cyberseurity, hamalate cyberi, informaition security, ransomware, امنیت, فناوری اطلاعات /توسط ادمین

بررسی‌های مؤسسه امنیتی کاسپراسکای نشان می‌دهد حملات باج افزارها به شهرداری‌ها و مؤسسات مرتبط به آنها مانند شوراهای شهرها در سال ۲۰۱۹ به شدت افزایش یافته است.

به نقل از آسین ایج، بر اساس همین بررسی در سال ۲۰۱۸ حداقل ۱۷۴ شهرداری یا مؤسسه و نهاد وابسته به شهرداری‌ها در سراسر جهان هدف حملات باج افزاری قرار گرفته‌اند.

۱۷۴ شهرداری یا نهاد وابسته به شهرداری که در نقاط مختلف دنیا مورد حمله باج افزاری قرار گرفته‌اند در مجموع دارای بیش از سه هزار زیرمجموعه بوده‌اند. میزان این حملات در سال ۲۰۱۹ نسبت به سال ۲۰۱۸ بیش از ۶۰ درصد افزایش نشان می‌دهد.

مجموع خسارات مالی ناشی از این حملات باج افزاری از مرز ۵۳ میلیون دلار گذشته و هر یک از آنها به طور متوسط بیش از ۱۰۳ هزار دلار خسارت به بار آورده است. البته در این محاسبه، هزینه‌های مربوط به بازگرداندن رایانه‌های آسیب دیده به حالت عادی و افزایش امنیت آنها محاسبه نشده است.

باج افزارهای مورد استفاده در این حملات از خانواده‌های مختلفی هستند، اما سه نوع باج افزار بیش از بقیه مورد استفاده قرار گرفته‌اند که به ترتیب عبارتند از ریوک، پورگا و استاپ.

ریوک از یک سال قبل در دو بخش دولتی و خصوصی فعال بوده، پورگا که اولین بار در سال ۲۰۱۶ مشاهده شد به تازگی برای حمله به شهرداری‌ها به کار رفته و استاپ کمتر از یک سال عمر دارد و معمولاً خود را در دیگر نرم افزارها مخفی می‌کند.

۵ تهدید امنیت فضای سایبری در سال ۲۰۲۰/ فیشینگ دغدغه اصلی

آذر ۳۰, ۱۳۹۸/در markazeh maher, Phishing, ransomware, tahdidate cyberi, امنیت, فناوری اطلاعات /توسط ادمین

مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه ای ۵ پیش‌بینی از امنیت فضای سایبری برای سال ۲۰۲۰ و چالش‌های پیش‌روی آن را منتشر کرد.

به نقل از مرکز ماهر، وقتی صحبت از ‫امنیت سایبری می‌شود، پیش‌بینی تهدیدات به جای واکنش مقابل آنها دارای اهمیت بالاتری است.

در یک چشم انداز کلی، تهدیدات به طور مداوم در حال تغییر و تحول است، دیگر وصله کردن رخنه‌ها و یا انجام به‌روزرسانی‌ها در مقابل تهدیدات دیروز، کافی نیست. سال جدیدی پیش روی ما است و همراه آن تهدیدهای جدیدی، به ویژه در دنیای امنیت سایبری، در انتظار ما است.

در این مطلب ۵ پیش‌بینی در حوزه امنیت سایبری برای سال ۲۰۲۰، به منظور کمک در پیشگیری از تهدیدات آورده شده است.

۱- ‫باج‌افزار ها شب‌های بی‌خوابی بیشتری را به‌وجود آورند

• باج‌افزارها پیشرفته‌تر می‌شوند.

• با وجود پیشرفته‌ترین راه‌حل‌های امنیتی برای ایمیل‌ها، باز هم این موارد دور زده خواهند شد.

• آلودگی ناشی از باج‌افزارها دارای پیامدهای مخرب‌تر است.

این موارد از جمله پیش بینی های مربوط به گسترش باج افزارها در سال پیش روی میلادی است.

آلودگی‌های باج‌افزار (Ransomware) اکنون با پیچیدگی بیشتر و به صورت خودکار، حتی در پیشرفته‌ترین راه‌حل‌های امنیتی ایمیل نیز قابل نفوذ است. خصوصاً وقتی صحبت از ایجاد تغییرات و استفاده از تروجان‌ها مطرح می‌شود. علاوه بر این، راه‌حل‌های امنیتی فعلی، حملات باج‌افزار را فقط چند ساعت پس از انتشار تشخیص می‌دهند، که اغلب طولانی‌تر از زمان کافی برای آسیب رساندن است.

برای نمونه می‌توان به باج افزار Emotet اشاره کرد. یکی از عواملی که Emotet را بسیار موفق می‌کند این است که از لیست کوتاه مشخصی از اهداف استفاده می کند، بنابراین اقدامات برای کشف آن زمان بیشتری می‌برد.

این حملات همچنین به طور مداوم در حال تغییر IOC هستند، بنابراین حتی هوشمندترین روش‌های مبتنی بر امضا، IDS و سایر راه‌حل‌های سنتی قادر به تشخیص به اندازه کافی سریع آن نیستند.

همانطور که می‌بینیم، تقریباً به طور مداوم و هر هفته این حملات اتفاق می‌افتند. مهاجمان یک پایگاه از نمونه‌های جدیدی باج افزار ایجاد می‌کنند که شامل تکنیک‌های جدید مبهم‌سازی و دور زدن شناسایی‌ها است.آنها سپس نمونه‌ها را بر اساس این تکنیک‌ها تولید کرده و در سطح وسیع توزیع می‌کنند.

مراکز امنیتی تولید ضدبدافزار و ضدباج‌افزار، باید در حالی که مهاجمین پایگاه جدیدی را برای نمونه‌ها ایجاد می‌کنند، از آن‌ها جلو زده و روش‌هایی را به محصول خود اضافه کرده که قادر به شناسایی نمونه‌های جدید باشند.

۲- حملات فیشینگ نگرانی اصلی مدیران امنیتی خواهد بود

• ما همیشه می‌شنویم که تمام متخصصان امنیتی به دنبال راه‌حل‌هایی برای حل خطر رو به رشد حملات فیشینگ هستند.

• یک سال پیش، بدافزارها بزرگترین تهدید برای مشاغل تلقی می‌شدند. با نزدیک شدن به سال ۲۰۲۰، حملات فیشینگ دغدغه‌ اصلی هستند.

امروزه، بیشتر سازمان‌هایی که به دنبال تقویت امنیت در سرویس‌های ایمیل خود هستند، نیاز به مسدود کردن حملات فیشینگ دارند. در آینده حملات فیشینگ پیشرفته‌تر می‌شوند و حتی متخصص‌ترین افراد نمی‌توانند تمامی موارد آن‌ها را تشخیص دهند. کیت‌های فیشینگ موجود در dark web، همراه با لیست مدارک معتبر برای حملات هدفمند، به معنای افزایش حجم حملات فیشینگ و پیشرفت روش‌های آنها هستند.

علاوه بر این، آثار حملات فیشینگ شدیدتر و مخرب‌تر شده است. نشت داده‌ها، کلاهبرداری مالی و سایر پیامدهای حمله فیشینگ می‌تواند عواقب ناگواری برای سازمان‌ها در هر اندازه، داشته باشد. مطابق با آمار گزارش Verizon ۲۰۱۹ DBIR، حملات فیشینگ عامل شماره یک برای نشت اطلاعات است.

در واقع یک نیاز ضروری و لازم در این سال‌ها در حوزه سایبری، پیاده‌سازی سامانه‌هایی است که بتوانند این نوع حملات را به خصوص هنگامی که از طریق ایمیل ارسال می‌شوند، شناسایی و مسدود کنند.

۳- اهمیت تشخیص سریع و فوری تهدیدات بلافاصله پس از رخ دادن

• پس از رخ دادن یک تهدید، شمارش معکوس برای تکثیر گسترده آغاز می‌شود.

• ساعت‌ها طول می‌کشد تا راه‌حل‌های امنیتی مبتنی بر داده‌، تهدیدات جدید را شناسایی کنند.

• این بخش خطرناک‌ترین مرحله از حملات است.

• سازمان‌ها کم کم تحمل خود را در مقابل این تأخیر، از دست می‌دهند.

سازمان‌ها و متخصصان امنیتی شروع به تصدیق این موضوع کرده‌اند که این تأخیرها در روند شناسایی تهدیدات جدید باعث به وجود آمدن تهدیداتی بالقوه شده‌اند و انتظار می‌رود که آن را در سال ۲۰۲۰ به عنوان یک چالش اساسی قلمداد کنند.

۴- پلتفرم‌های همکاری سازمانی به عنوان هدف‌های حمله محبوب‌تر می شوند

• بسترهای نرم‌افزاری مانند درایوهای ابری و پیام‌رسان‌ها به طور فزاینده‌ای توسط مهاجمان مورد توجه قرار می‌گیرند.

• این پلتفرم‌های همکاری سازمانی، اغلب بلافاصله مورد اعتماد کاربران قرار می‌گیرند و مهاجمان در واقع از این مزیت استفاده می‌کنند.

استفاده از خدمات اشتراکی و ابری در حال انفجار است. کاربران به طور فزاینده از ابزارهایی مانند OneDrive مایکروسافت، Google Drive و غیره استفاده می‌کنند. اگرچه این استفاده روز افزون بسیار مفید است اما چالشی بی نظیر برای یک حرفه در حوزه‌ امنیت است.

این خدمات همواره تحت حمله مداوم قرار دارند و نوع حملات پیچیده‌تر، با روش‌های شناسایی بسیار سخت‌تر خواهند بود. همچنین هدف‌های حمله جدید ظاهر می‌شوند، این بدان معنا است که خطرات و آسیب‌های احتمالی در این حوزه که می‌توانند ایجاد شوند، در حال رشد هستند.

۵- گسترش محصولاتی برای شبیه سازی حمله و نشت اطلاعات

پیش بینی می شود که در سال ۲۰۲۰ مراکز دارای محصولاتی برای «شبیه سازی حمله و نشت اطلاعات»، راه‌حل‌های خود را روی انواع و هدف‌های حمله مختلف گسترش می‌دهند.

• به گفته مرکز گارتنر، اکثر تهدیدات هنوز از کانال ایمیل آغاز می‌شوند.

• بررسی ایمیل شامل ۹۴ درصد از شناسایی بدافزارها بوده و باعث زیان بیش از ۱.۲ میلیارد دلار در سال ۲۰۱۸ شده است.

• ابزارهای Breach and Attack Simulation (BAS) دفاع از شبکه را با شبیه‌سازی حمله سایبری آزمایش می‌کنند، اما BAS برای ایمیل هنوز تاثیر واقعی را ندارد.

از تولیدکنندگان BAS انتظار می‌رود که راه حل‌های خود را برای کل حملات و تهدیدات موجود گسترش دهند و راه‌حل‌های جامع‌تری برای مشتریان خود ارائه دهند. از آنجا که ایمیل یک هدف حمله‌ محبوب است، به احتمال زیاد آن‌ها به عنوان بخشی از راه حل‌های BAS پوشش ایمیل را آغاز می‌کنند.

پیش‌بینی‌های امنیت سایبری برای سال ۲۰۲۰: چالش‌های پیش‌رو

ابزارها و بسترهایی از جمله ایمیل، که استفاده زیادی داشته و به صورت گسترده کاربران با آن سر و کار دارند، از جهتی دیگر به معنای افزایش ریسک و آسیب‌پذیری برای تیم‌های امنیتی است.

صرف‌نظر از اینکه این که تمهیدات امنیتی در این بستر انجام شده باشد، تهدیداتی مانند باج‌افزار، فیشینگ یا حملات هدفمند به پلتفرم‌های محبوب در سال جدید مورد توجه هستند و محافظت از سیستم‌ها و داده‌های کاربران و سازمان‌ها کاری است که متخصصان حوزه امنیت باید روی آن متمرکز شوند.

از طرفی دیگر، در حالی که به صورت مداوم محصولاتی برای محافظت در برابر این تهدیدها ارائه می‌شوند، مهاجمان دائماً در حال به دست آوردن تکنیک‌هایی برای دور زدن راه‌حل‌های امنیتی هستند.

آنچه روشن است این است که راه‌حل‌ها و تکنیک‌هایی که برای برقراری امنیت در سال ۲۰۱۹ در حال استفاده است، برای حفظ امنیت سازمان در سال ۲۰۲۰ به طور خودکار قابل اتکا نیست و هرگز نقش امنیت سایبری، در سازمان‌ها به اهمیت امروز نبوده است.

نکته مهم این است که ما یک سال هیجان انگیز را در پیش‌رو داریم؛تهدیدهای جدید، چالش‌های جدید و دنیایی که به طور فزاینده‌ای در ارتباط است و برای حفظ امنیت نیاز به کمک متخصصان دارد.

۳ بیمارستان آمریکایی به هکرها باج دادند

مهر ۱۴, ۱۳۹۸/در Hackers, ransomware, امنیت, فناوری اطلاعات /توسط ادمین

حمله باج افزاری به سیستم های رایانشی ۳ بیمارستان در آمریکا سبب شد آنها از پذیرش بیماران جدید خودداری کنند. البته با پرداخت باج، بیمارستان ها به اطلاعات خود دسترسی یافتند.

به نقل از آسوشیتدپرس، حمله یک باج افزار به سیستم های رایانشی ۳ بیمارستان در آلاباما سبب شد این بیمارستان ها از پذیرش بیماران جدید خودداری کنند.

سازمان دولتی DCH Health System که سیستم های خدمات درمانی منطقه ای را در آمریکا اداره می کند، روز گذشته اعلام کرد، سیستم های رایانشی بیمارستان ها دوباره آنلاین شده است.

البته در این بیانیه ذکر نشده چگونه سیستم های رایانشی بیمارستان ها به اطلاعات خود دسترسی یافته اند اما به نوشته یکی از نشریه های خبری محلی، DCH Health System به هکرها باج پرداخت کرده است.

این سازمان اعلام کرده بود بیمارستان های تحت پوشش آن واقع در توسکالوزا، نورث پورت و فایت،به دلیل وجود بدافزار از سه شنبه هفته گذشته تاکنون از پذیرش بیماران جدید در خودداری کرده اند. مراجعان به این بیمارستان ها به مراکز درمانی دیگر فرستاده می شدند.

البته در بیانیه سازمانDCH Health System ذکر شده بیمارستان ها طی امروز و فردا نیز فقط بیمارانی با شرایط وخیم را قبول می کنند. طبق اعلام بیمارستان ها هکرها با استفاده از نوعی از باج افزار Ryuk فایل هایشان را قفل کرده بودند.

این سه بیمارستان در غرب آلاباما فعال هستند و حدود ۸۵۰ تخت دارند.

‫ هشدار! گسترش حملات باج‌افزاری در بین کاربران خانگی

شهریور ۳۱, ۱۳۹۸/در ransomware, security, امنیت, فناوری اطلاعات /توسط ادمین

مشاهدات صورت گرفته نشان می‌دهد که در بازه زمانی یک‌ماهه اخیر، با رشد و گسترش باج‌افزارهایی همچون STOP/Djvu که کابران خانگی را مورد حمله قرار می‌دهند، شدت این حملات بیشتر شده است. بررسی‌ها نشان می‌دهد که از عمده دلایل آلوده شدن این رایانه‌ها کلیک بر روی لینک‌های آلوده، دریافت فایل‌های اجرایی مخرب، کرک‌ها و نرم‌افزارهای فعال‌ساز و همچنین ماکروهای آلوده موجود در فایل‌های محصولات ادوبی و آفیس با پسوندهای pdf, doc, ppt و ... می‌باشند.

برای جلوگیری از آلوده شدن رایانه‌های شخصی و کاربران خانگی و همچنین کاهش آسیب‌های ناشی از حملات باج‌افزاری توصیه می‌گردد:

1. نسبت به تهیه نسخه‌های پشتیبان از اطلاعات ارزشمند و نگهداری به صورت غیر برخط اقدام نمایند.

2. از باز کردن پیام‌های مشکوک در محیط‌های مختلف از جمله ایمیل، پیام‌رسان‌ها و شبکه‌های اجتماعی پرهیز نمایند.

3. از دریافت فایل‌های اجرایی از منابع ناشناس پرهیز نمایند. به طور ویژه از دریافت کرک نرم‌افزارها خصوصاً فعال‌سازهای ویندوز و محصولات آفیس خودداری نمایند.

4. از به‌روز بودن سیستم‌عامل و محصولات ضدویروس اطمینان حاصل نمایند. لازم به یادآوری است که در بسیاری از موارد، ضدویروس‌ها از از تشخیص به‌هنگام باج‌افزارها ناتوان هستند. دلیل این موضوع گسترش کاربرد RaaS در بین باج‌افزارهای امروزی می‌باشد. مفهوم RaaS یا "باج‌افزار به عنوان یک خدمت" زمانی به کار برده می‌شود که گروهی نسبت به تهیه بستر حمله یعنی فایل‌های مخرب و بستر ارتباطی اقدام کرده و طیف گسترده‌ای از مهاجمین عموماً با دانش پایین‌تر با در اختیار گرفتن انواع فایل‌های جدید و سفارشی‌سازی شده که تا آن لحظه توسط هیچ ضدویروسی مشاهده نشده است، اقدام به حمله می‌نمایند.

5. همواره نسبت به علائم آلودگی باج‌افزار از قبیل تغییر پسوند فایل‌ها، پیغام باج‌خواهی، کاهش محسوس سرعت سیستم‌عامل و ... حساسیت داشته و در صورت مشاهده موارد مشکوک به آلودگی، قبل از هر اقدامی از خدمات مشاوره‌ای مرکز ماهر در این زمینه استفاده نمایند.

شیوع گسترده باج‌افزار STOP/DJVU در کشور

شهریور ۳۰, ۱۳۹۸/در ransomware, STOP/DJVU, امنیت, فناوری اطلاعات /توسط ادمین

گزارشات بدست آمده از رخدادهای حملات باج‌افزاری اخیر، خبر از شیوع گسترده باج‌افزار STOP/Djvu در سطح کشور می‌دهد. باج‌افزار STOP برای اولین بار در اواخر سال ۲۰۱۷ میلادی مشاهده گردید. Djvu نسخه جدیدتر آن می‌باشد که از نظر عملکرد شبیه والد خود (STOP) می‌باشد و امروزه آن‌ها را با نام STOP/Djvu می‌شناسند. این باج‌افزار برای رمزگذاری فایل‌ها از الگوریتم AES-256 استفاده می‌کند و مبلغی بین ۲۰۰ تا ۶۰۰ دلار (به بیت‌کوین) را به عنوان باج از قربانی درخواست می‌کند.

باج‌افزار STOP/Djvu به محض اجرا در سیستم قربانی با سرور کنترل و فرمان (C&C) خود ارتباط می‌گیرد و فایل‌ها را با کلید آنلاین رمزگذاری می‌کند. در صورتی که به هر دلیل موفق به برقراری ارتباط با سرور خود نگردد از روش آفلاین برای رمزگذاری فایل‌ها استفاده می‌کند. این باج‌افزار از روش‌های متنوعی برای نفوذ و انتشار خود به سیستم قربانی استفاده می‌کند. پیوست هرزنامه‌ها، کرک‌های آلوده ویندوز و محصولات آفیس، درایورها و آپدیت‌های جعلی و همچنین سوء استفاده از پروتکل RDP از روش‌های انتشار این باج‌افزار می‌باشد.

تاکنون تعداد محدودی از نسخه‌های آفلاین باج‌افزار STOP/Djvu تحت شرایط خاص قابل رمزگشایی بودند. اما اخیراً با توجه به اینکه توسعه‌دهندگان این باج‌افزار در نسخه‌های جدیدتر، شیوه خود را تغییر داده و از الگوریتم رمزنگاری نامتقارن استفاده کرده‌اند، از این پس، فایل‌های رمزگذاری شده توسط باج‌افزار STOP/Djvu بدون کلید خصوصی توسعه‌دهنده باج‌افزار قابل رمزگشایی نخواهند بود.

تحلیل فنی باج‌افزار MEGACORTEX

شهریور ۶, ۱۳۹۸/در MEGACORTEX, ransomware, security, امنیت, فناوری اطلاعات /توسط ادمین

باج‌افزارMegacortexبرای اولین بار در اوایل ماه مه سال 2019 میلادی مشاهده گردید. این باج‌افزار در همان ابتدای فعالیت خود به سبب حملات گسترده به شبکه‌های سازمان‌ها و کسب و کارها در کشورهای آمریکا، کانادا و بخش غربی قاره اروپا، توجه محققان سایبری را به خود جلب کرد. براساس مشاهدات صورت گرفته، اولین نسخه این باج‌افزار تا 600 بیت‌کوین هم درخواست باج می‌دهد که مبلغ قابل توجهی می‌باشد. این باج‌افزار از الگوریتمAES و RSAجهت رمزگذاری فایل‌های سیستم قربانی استفاده می‌کند و پسوند .megac0rtx را به انتهای فایل‌های رمزگذاری شده اضافه می‌نماید. تحلیل پیش رو مربوط به نسخه دوم این باج‌افزار می‌باشد. این نسخه در تاریخ 23 ژوئیه سال جاری میلادی منتشر گردیده است.

رمزگشای باج‌افزار Syrkتوسط پژوهشگران شرکت امنیتی Emsisoftارائه شد.

شهریور ۶, ۱۳۹۸/در ransomware, security, SYRK, امنیت, فناوری اطلاعات /توسط ادمین

باج‌افزار Syrkبرای اولین بار در ماه آگوست 2019 میلادی مشاهده گردید. طبق اخبار منتشر شده، این باج‌افزار که ظاهراً در پوشش یک ابزار هک برای بازی ویدیویی Fortniteمنتشر می‌گردد، فایل‌های قربانی را با الگوریتم AES-256رمزگذاری نموده پسوند .Syrkرا به انتهای فایل‌های رمزگذاری شده اضافه می‌کند. باج‌افزار مورد اشاره متن پیغام باج‌خواهی خود را در قالب یک فایل متنی به نام Readme_now.txtو با مضمون زیر در سیستم قربانی قرار می‌دهد:

Your personal files have been encrypted by Syrk Malware, send an email to [email protected] to recover them.

همچنین صفحه‌ای همانند تصویر زیر نیز بر روی دسکتاپ ظاهر می‌شود.

در صورتی که فایل‌های رمز شده شما توسط این باج‌افزار دارای پسوند .Syrkمی‌باشند، می‌توانید به وسیله این رمزگشا فایل‌های خود را رمزگشایی کنید.

دوربین های DSLR هدف تازه باج افزارها

مرداد ۲۱, ۱۳۹۸/در DSLR cameras, ransomware, امنیت, فناوری اطلاعات /توسط ادمین

باج افزارها مدتی است که به تهدید اصلی برای سیستم های کامپیوتری بدل شده اند و حملات گسترده ای که با کمک آنها ترتیب داده شده کاربران را از دسترسی به سیستم های شخصی، بیمارستانی، شهری، و حتی دولتی محروم کرده است. حالا محققان امنیتی هدف تازه ای را برای باج افزارها پیدا کرده اند: دوربین های DSLR .

شرکت نرم افزاری چک پوینت صبح امروز گزارش جدیدی را منتشر کرد که نشان می دهد چطور محققان امنیتی آن موفق شدند به صورت از راه دور بدافزار مد نظرشان را روی یک دوربین دیجیتالی DSLR نصب کنند. Eyal Itkin (مولف این گزارش) در پژوهش خود مدعی شده است که پروتکل انتقال تصویر (Picture Transfer Protocol) مورد استفاده در این دوربین ها روشی ایده آل را برای انتقال بدافزار به آنها فراهم می کند. این پروتکل غیرمجاز هم از طریق وای فای و هم USB قادر به انتقال بدافزار است.

Itkin در ویدیویی همچنین نشان داده که چطور توانسته از طریق وای فای یک دوربین کانن E0S 80D را هک کند و عکس های موجود در اس دی کارت آن را رمزگذاری کند تا مالک نتواند به آنها دسترسی پیدا کند.

او همچنین خاطرنشان کرده که دوربین های DSLR میتوانند هدفی بسیار چشمگیر برای هکرها باشند: این دستگاه ها مملو از عکس های شخصی کاربرانشان هستند و مالک دوربین نیز علاقه ای به از دست دادن آنها ندارد. در یک حمله باج افزاری واقعی یک هکر میتواند مبلغ اندکی را بابت رمزگشایی از عکس های مالک دوربین طلب کند و این مبلغ معمولا به قدری پایین است که فرد راضی می شود آن را بپردازد و در عوض بدون دردسر به عکس هایش دسترسی داشته باشد.

چک پوینت اعلام کرده این آسیب پذیری در دوربین کانن را چند ماه پیش گزارش داده و از آن زمان تاکنون با همکاری کانن مشغول تهیه پچ مورد نیاز است. هفته گذشته کانن یک گزارش مشورتی در حوزه امنیت منتشر کرد و از کاربران خواست که استفاده از شبکه های وای فای غیرایمن را کنار بگذارند و زمانی که از قابلیت های تحت شبکه دوربین های آن استفاده نمی کنند آنها را غیرفعال نمایند.

Itkin خاطرنشان کرده که فعلا با کانن در این رابطه همکاری کرده اما به خاطر پیچیدگی پروتکل مورد استفاده در این روش حمله، باور دارد که دیگر دوربین های DSLR هم در برابر آن آسیب پذیر هستند و تولیدکنندگانشان باید در این رابطه تدبیری بیاندیشند.

توزیع باج افزار اندرویدی جدید با پیامک

مرداد ۱۰, ۱۳۹۸/در Android, ransomware, SMS, سیستم‌عامل و نرم‌افزار, فناوری اطلاعات /توسط ادمین

محققان امنیتی ادعا می‌کنند که خانواده‌ی جدیدی از باج‌افزارهای اندرویدی با استفاده از پیامک بین کاربران توزیع می‌شوند. متخصصان امنیت سایبری ESET در جدیدترین گزارش خود، نتایج بررسی یک بدافزار اندرویدی به‌نام Android/Filecoder.C را منتشر کردند. انتشار اخبار جدید به نوعی یک نشانه برای پایان دو سال روند نزولی تشخیص بدافزارهای اندرویدی محسوب می‌شود.

بدافزار فایل‌کدر حداقل از ۱۲ ژوئیه ۲۰۱۹ فعال بوده است و از طریق پست‌های آلوده در انجمن‌های آنلاین توزیع می‌شود. از میان انجمن‌ها می‌توان به ردیت و فروم مشهور توسعه‌ی اندروید یعنی XDA Developers اشاره کرد. حجم عمده‌ای از پست‌های آلوده که کاربران را به دریافت بدافزار مذکور دعوت می‌کنند، موضوعاتی با محوریت هرزنگاری دارند. به‌علاوه، تحقیقات ESET می‌گوید که در اکثر آن‌ها از ابزار bit.ly برای تغییر آدرس بدافزار استفاده می‌شود.

به‌ محض اینکه فایل‌کدر در دستگاه اندرویدی قربانی نصب شود، به فهرست مخاطبان او دسترسی پیدا می‌کند. سپس پیام‌های متنی به‌صورت پیامک به کل فهرست ارسال می‌شود. لینک مخرب به‌صورت تبلیغی برای یک اپلیکیشن کاربردی ارسال می‌شود درحالی‌که به اپلیکیشنی مرتبط با بدافزار فایل‌کدر متصل خواهد بود. شایان ذکر است پیامک مخرب بسته به زبان دستگاه قربانی ارسال می‌شود و توانایی ارسال پیام به ۴۲ زبان را دارد. به‌علاوه نام مخاطب نیز در متن پیام درج می‌شود.

اگر قربانی روی لینک موجود در پیامک کلیک کند، بدافزار به‌صورت دستی نصب شده که عموما باز هم از محتوای هرزنگاری برای تبلیغ آن استفاده می‌شود. به‌ هر حال هدف نهایی از اپلیکیشن مخرب مذکور، اجرای آن در پس‌زمینه خواهد بود. اپلیکیشن شامل تنظیمات command-and-control یا C2 است که آدرس کیف‌های پول بیت کوین نیز درون آن قرار دارد. به‌علاوه ابزاری به‌نام Patebin در داخل کدهای بدافزار دیده می‌شود که برای اجرای فرایند Dynamic Retrieval کاربرد دارد.

فایل‌کدر پس از آنکه پیام‌های تبلیغاتی را برای فهرست مخاطبان ارسال کرد، به‌دنبال حافظه‌ی دستگاه می‌گردد و بخش اعظم آن را رمزنگاری می‌کند. از میان فایل‌هایی که توسط بدافزار رمزنگاری می‌شوند می‌توان به فایل‌های متنی و تصویر اشاره کرد. باج‌افزار مذکور توانایی دستکاری در فایل‌های اختصاصی اندروید همچون apk و dex را ندارد. محققان ESET اعتقاد دارند فرایند رمزنگاری به‌نوعی یک روند کپی و الصاق از WannaCry است. جهت یادآوری باید بدانید که واناکرای یکی بدافزارهای بسیار حرفه‌ای و مخرب است.

اثرگذاری باج‌افزار جدید هنوز آن‌چنان زیاد نیست

پس از رمزنگاری فایل‌های قربانی، پیامی مبنی بر درخواست وجه به او نمایش داده می‌شود. پیامی که باج به ارزش ۹۸ تا ۱۸۸ دلار را در فرم رمزارز درخواست می‌کند. در حال‌ حاضر هیچ گزارشی از پاک شدن فایل‌ها پس از دوره‌ی تهدیدی وجود ندارد. به‌علاوه باج‌افزار فعالیتی به‌صورت قفل کردن دستگاه یا متوقف کردن فعالیت آن انجام نمی‌دهد. البته اگر کاربر اپلیکیشن را حذف کند، فایل‌ها رمزگشایی نمی‌شوند. البته عدم رمزگشایی آن‌ها ربطی به تهدید مجرمان سایبری ندارد و دلیل اصلی آن، رمزنگاری ناقص است. به‌هرحال باز هم کاربر می‌تواند بدون پرداخت هزینه‌ی زیاد، فایل‌های خود را بازیابی کند.

فایل‌کدر در زمان رمزنگاری فایل‌های کاربر، یک کلید عمومی و یک کلید خصوصی ایجاد می‌کند. کلید خصوصی با استفاده از الگوریتم RSA رمزنگاری شده و برای مجرم سایبری (یا همان اپراتور C2) ارسال می‌شود. درنتیجه اگر قربانی هزینه‌ی درخواستی را پرداخت کند، هکر قابلیت رمزگشایی فایل‌ها را خواهد داشت.

متخصصان امنیت سایبری می‌گویند بدون پرداخت هزینه هم می‌توان فرایند رمزگشایی را با استفاده از کلید خصوصی انجام داد. آن‌ها ادعا می‌کنند که می‌توان فرایند رمزنگاری را به رمزگشایی تبدیل کرد. برای انجام چنین فرایندی، تنها به UserID نیاز خواهد بود که آن هم از سوی مجرم سایبری در پیام درخواست وجه ارائه می‌شود. به بیان دیگر متخصصان ESET علاوه بر تشخیص بدافزار جدید، راهکار عملی را هم برای آن ارائه کرده‌اند.

متخصصان ESET در متنی که مرتبط با بدافزار بالا منتشر کردند، درباره‌ی اثرگذاری آن نوشتند:

با توجه به هدف‌گیری محدود و ایراد در اجرا و همچنین پیاده‌سازی رمزنگاری، اثر این باج‌افزار محدود است. به‌هرحال اگر توسعه‌دهنده‌های آن ایرادات را برطرف کنند و جامعه‌ی هدف هم گسترده‌تر شود، احتمالا باج‌افزار Android/Filecoder.C به تهدیدی بزرگ‌تر بدل خواهد شد.

با توجه به توضیحاتی که پیرامون روش اجرا و توزیع بدافزار اندرویدی مطرح شد، باز هم اهمیت آگاهی کاربر برای جلوگیری از آلودگی مشخص می‌شود. اگر قربانیان پیامک‌های مخرب یا کاربران انجمن‌های آنلاین، در باز کردن لینک‌های تبلیغاتی و همچنین نرم‌افزارهای متفرقه احتیاط لازم را داشته باشند، قطعا اجرای فرایند باج‌گیری سایبری حتی شروع هم نخواهد شد.