باج افزار غیرمعمول که سرورها را رمزگذاری می کند ⋆

نوامبر29

باج افزار غیرمعمول که سرورها را رمزگذاری می کند

در سال 2019 ، تجدید حیات باج افزار همچنان در حال انجام است. از ابتدای سال ، بسیاری از شرکت ها و سازمان ها به دست این نوع بدافزارها دچار شده اند: دولت های محلی ، تولید کنندگان ، بیمارستان ها ، تولید کنندگان ، زیرساخت های مهم …

در حالی که ما می دانیم که قربانیان این حملات باج افزار هستند. بیشتر اوقات ، بدافزارهای بدافزار مورد استفاده در حوادث ناشناخته مانده اند. برخی از استثنائات عبارتند از RobbinHood ، باج افزار استفاده شده در بالتیمور ، که چند ماه بعد کشف شد و درباره موفقیت آن نشان داد. یا LockerGoga ، باجگیرانه ای که Nors Hydro را مجبور به جدا کردن 22،000 رایانه در 40 کشور کرده است.

PureLocker: باج افزار جدید با تاکتیک های غیرمعمول

ما اکنون شاهد یک نوع دیگر باج افزار است که سازمان ها را در سراسر جهان تهدید می کند. PureLocker بخشی از باج افزار است که در حملات هدفمند علیه سرورهای شرکت مورد استفاده قرار می گیرد و به نظر می رسد که با گروه های بدنام سایبر شناخته شده ارتباط دارد.

این بدافزار ، که به منظور درخواست باج ، سرورهای قربانیان خود را رمزگذاری می کند ، مورد تجزیه و تحلیل قرار گرفته است. محققان Intezer و IBM X-Force. آنها آن را PureLocker نامیدند زیرا به زبان برنامه نویسی PureBasic نوشته شده است. این انتخاب زبان غیر معمول است ، اما مزایای بسیاری از مهاجمان را به شما می دهد ، از جمله این واقعیت است که ارائه دهندگان امنیت سایبری اغلب برای تولید امضای قابل اعتماد برای نرم افزارهای مخرب که به این زبان نوشته شده اند تلاش می کنند. PureBasic همچنین به راحتی قابل انتقال بین ویندوز ، لینوکس و OX-X است ، که حمله به سیستم عامل های دیگر را به شدت تسهیل می کند.

سرورها در خط شلیک

انتخاب به سرورهای هدف می تواند راهی برای تلاش برای گرفتن مبالغ بالاتر از قربانیان آن باشد. . حمله به سرورها اغلب منجر به مطالبات باج صدها هزار یورو می شود. این امر به این دلیل است که سازمان ها تمایل دارند که مهمترین داده های خود را روی سرورها ذخیره کنند و از این رو احتمالاً مایل هستند مبلغ بالاتری را برای بازیابی این اطلاعات مهم بپردازند.

اگرچه ما در مورد تعداد قربانیانی که این باج افزار دارد ، داده ای نداریم. محققان امنیتی ادعا كرده اند كه این یك اقدام فعال است. از این گذشته ، به نظر می رسد که PureLocker به عنوان یک سرویس ارائه می شود. اعتقاد بر این است که این سرویس باج افزار به عنوان یک سرویس منحصراً به سازمان های مجرمان سایبری ارائه می شود که می توانند هزینه بالایی را بپردازند.

به گفته مایکل کجیلوتی ، محقق امنیتی Intezer ، "احتمالاً بسیار گران و تا حدودی انحصاری است. به دلیل این واقعیت است که بازیگران نسبتاً معدودی از سرویس ویژه بدافزار و سطح پیشرفته بودن ارائه آن استفاده می کنند. "

یک Backdoor اختصاصی

کد منبع PureLocker سرنخ هایی را در رابطه با آن ارائه می دهد. طبیعت منحصر به فرد ، مانند این واقعیت که حاوی رشته هایی از بدافزار در فضای باز 'more_eggs' است که توسط ارائه دهندگان خدمات بدافزار "جانباز" به فروش می رسد. برخی از بدنام ترین گروه های مجرمان سایبری در اطراف در حال حاضر از این ابزارها استفاده می کنند ، از جمله Cobalt Gang و FIN6 ، و به نظر می رسد PureLocker برخی کدها را با کمپین هایی که قبلاً توسط این گروه ها انجام شده است به اشتراک بگذارد. این نشان می دهد که PureLocker برای جنایتکارانی طراحی شده است که می دانند چه کاری انجام می دهند و قادر به حمله به شرکت های بزرگ هستند.

قربانیان PureLocker یک یادداشت باج دریافت می کنند که به آنها می گوید تا با یک آدرس ایمیل تماس بگیرند تا بتوانند مذاکره کنند. پرداخت برای رمزگشایی پرونده های آنها. همچنین به آنها می گوید که فقط هفت روز فرصت پرداخت هزینه دارند. اگر آنها نتوانند این مهلت را رعایت کنند ، کلید رمزگشایی پاک خواهد شد.

از خود در برابر حملات پیشرفته محافظت کنید

محققان امنیت سایبری که این باج افزار را تحلیل کرده اند ، هنوز مطمئن نیستند که چگونه به قربانیان تحویل داده می شود. با این حال ، حملات more_eggs با ایمیل های فیشینگ آغاز می شود. شباهت های موجود بین این بدافزار و PureLocker نشان می دهد که ممکن است این باج افزار از همان راه شروع شود.

با توجه به اینکه هیچ کس دقیقا نمی داند چگونه به سرورهای قربانیان خود می رسد ، تنها راه محافظت در برابر PureLocker استفاده از صفر است. رویکرد اعتماد به منظور اطمینان از عدم باز بودن دری در برابر جرایم سایبری. هر ایمیلی که حتی کمی مشکوک باشد باید مستقیماً به بخش امنیت فناوری اطلاعات ارسال شود ، و پیوست های فرستنده های ناشناس هرگز نباید باز شود.

اندازه گیری دیگری که ضروری است هر شرکتی است یک راه حل پیشرفته در زمینه امنیت سایبر. Panda Adaptive Defense دائماً فرایندی را که در سیستم های سازمان اجرا می شود ، نظارت می کند. اگر هرگونه مشكلی یا ناشناخته را كشف كند ، بلافاصله آن را مسدود كرده و اجرای آن را متوقف می كند تا اینكه كاملاً مطمئن باشد كه قابل اعتماد است. به این ترتیب ، شما بدون در نظر گرفتن ماهیت آن در برابر هرگونه تهدید محافظت خواهید شد.

علاوه بر این ، دفاع تطبیقی پاندا مبتنی بر امضاها نیست. این بدان معناست که ، حتی اگر یک قطعه بدافزار حاوی مکانیزم هایی برای جلوگیری از ایجاد امضاهای آشکارساز باشد ، همانطور که در مورد PureLocker وجود دارد ، راه حل پیشرفته امنیت سایبری ما قادر به شناسایی و مسدود کردن تهدید است.

این کمپین PureLocker در حال حاضر فعال است. به دلیل ترفندهایی که از آن استفاده می کند ، می تواند برای اطلاعات ذخیره شده در طیف گسترده ای از شرکت ها یک خطر جدی باشد. قربانی بعدی PureLocker نشوید و با امنیت پاندا محافظت کنید.