SamSam و Maktub باج‌افزارهایی تکامل‌یافته و نوین

بدافزارکمیته رکن چهارم – باج‌افزار SamSam اقدام به آلوده‌سازی سرورهایی می‌کند که وصله‌های لازم برای آسیب‌پذیری‌ها را دریافت نکرده‌اند.

به گزارش کمیته رکن چهارم،باج‌افزارهای Maktub و SamSam زمانی که روی سیستم قربانی قرار می‌گیرند، برای رمزنگاری فایل‌ها نیازی به اتصال به سرور C&C ندارند. گزارش‌ها نشان می‌دهد که هدف اولیه باج‌افزار SamSam صنعت بهداشت و درمان است.

هک‌های ترسناک باج‌افزارها رو به افزایش است

کرگ ویلیامز مدیر ارشد فنی  شرکت سیسکو تالوس در این باره گفته است: «در گذشته باج‌افزارهایی همچون CryptoLocker و TeslaCrypt به فردی نیاز داشتند تا ضمیمه متصل به یک ایمیل را باز کند یا به بازدید از سایتی مبادرت ورزد. اما SamSam سرورهای آسیب‌پذیر را هدف خود قرار داده است. این سرورها همیشه در دسترس هستند و همیشه ظرفیت بالقوه‌ای برای آسیب‌پذیری در آن‌ها وجود دارد.» کارشناسان امنیتی در این باره می‌گویند که روشی که این دو باج‌افزار از آن استفاده می‌کنند، نه تنها به آن‌ها کمک می‌کند کاملاً پنهان بمانند، بلکه به آن‌ها این توانایی را می‌دهد تا بیشترین میزان خسارت را به زیرساخت‌های شرکت هدف وارد کنند. ویلیامز درباره با باج‌افزارSamSam  گفته است: «بدافزار فوق می‌تواند با استفاده از آسیب‌پذیری‌های شناخته‌شده در سروری که وصله‌های مربوطه را دریافت نکرده است، به درون شبکه بیمارستان راه پیدا کند.

زمانی که هکرها به شبکه‌ای دست پیدا می‌کنند، سیستم‌های اطلاعاتی مهم و حیاتی را شناسایی کرده و  فرایند رمزنگاری روی این داده‌ها را انجام می‌دهند. گزارش‌ها نشان می‌دهد که هدف اصلی این باج‌افزارها سرورها و سیستم‌هایی است که اطلاعات پزشکی در آن‌ها نگه‌داری می‌شود.» سیسکو تالوس در این خصوص گفته است: «مکانیزم مورد استفاده توسط samsam کمی غیررایج است، به دلیل اینکه به جای متمرکز شدن روی کاربر از روش‌های از راه دور استفاده می‌کند. هکرها با استفاده از آسیب‌پذیری‌های شناخته‌شده در سرور‌های JBoss و قبل از آنکه لایه وب نصب شود، اقدام به بهره‌برداری از این آسیب‌پذیری کرده و در ادامه سیستم‌های متصل به شبکه را شناسایی کرده و برای رمزنگاری فایل‌ها روی این سیستم‌ها بدافزار samsam را نصب می‌کنند.

مجرمان سایبری از ابزار منبع باز JexBoss برای بررسی و بهره‌برداری از سرورهای کاربردی JBoss استفاده می‌کند. هکرها به محض ورود به شبکه، فرایند رمزنگاری سیستم‌های ویندوزی را آغاز می‌کنند. این دو باج‌افزار هیچ‌گونه سرور C&C و فرمان‌دهی معمولی در اختیار ندارند. این دو باج‌افزار به‌طور معمول فرایند رمزنگاری اطلاعات را انجام می‌دهند، اما دسترسی به سایت‌های وردپرس متعلق به این باج‌افزارها تنها از طریق شبکه‌های تور امکان‌پذیر است. صنعت بهداشت و درمان و به‌ویژه بیمارستان‌ها به این دلیل مورد توجه هکرها قرار گرفته‌اند که معمولاً از فناوری‌های قدیمی و غیرایمن استفاده می‌کنند.» اما شیوه کارکرد باج‌افزار Maktub به این شکل است که ابتدا فایل‌هایی را که باید رمزنگاری شوند، فشرده‌سازی کرده و در ادامه این فرایند را روی آن‌ها انجام می‌دهد. این کار باعث می‌شود سرعت رمزنگاری به میزان قابل توجهی افزایش پیدا کند. ویلیامز در این خصوص گفته‌ است: «پیش‌بینی من این است که بیمارستان‌ها اولین هدف هکرها در این زمینه هستند و انتظار می‌رود این باج‌افزارها به سراغ حوزه‌های دیگر صنعت نیز بروند.» اما به راستی چه عاملی باعث شده است این باج‌افزارها تا به این اندازه خطرناک شوند؟ سیسکو تالوس در این باره گفته است: «بر خلاف باج‌افزارهایی که در آن‌ها هکرها سعی می‌کنند هیچ‌گونه ارتباط مستقیمی با قربانیان برقرار نکنند، مکانیزم مورد استفاده توسط این باج‌افزارها به گونه‌ای است که به قربانیان و هکرها اجازه می‌دهد بر سر مسائل مالی و پرداخت باج مربوطه با یکدیگر به مذاکره بپردازند.»

گزارش‌هایی که به دست پلیس رسیده است، نشان می‌دهد که سازندگان این باج‌افزارها افرادی تازه‌کار هستند، به دلیل اینکه باج‌های کمی را از قربانیان مطالبه می‌کنند و برای اینکه مطمئن شوند قربانی باج مربوطه را پرداخت می‌کند، به‌آرامی نرخ باج را افزایش می‌دهند. همچنین در مصاحبه‌ای که با قربانیان انجام گرفته است، آن‌ها اعلام کرده‌اند در مذاکره با هکرها موفق شده‌اند از آن‌ها در خصوص باج پرداختی تخفیف بگیرند! ویلیامز در بخش پایانی صحبت‌های خود گفته است: «باج‌افزارهایی که اکنون مشاهده می‌کنیم نمونه تکامل‌یافته‌ای از نمونه‌هایی هستند که سال گذشته شاهد حضور آن‌ها بودیم. این باج‌افزارها به ما نشان دادند که دیگر نیازی به استفاده از ایمیل‌های جذاب و به ظاهر قانونی برای فریب افراد ضرورتی ندارد. بدون شک در ماه‌های آینده شاهد ظهور نمونه‌های مختلفی از این باج‌افزارها خواهیم بود.»

منبع:رسانه خبری امنیت اطلاعات

درباره نویسنده

پست های مرتبط

پاسخ دهید


خبرگزاری هرانا

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *


Type The Red Captcha Characters Below.