کمیته رکن چهارم – باجافزار SamSam اقدام به آلودهسازی سرورهایی میکند که وصلههای لازم برای آسیبپذیریها را دریافت نکردهاند.
به گزارش کمیته رکن چهارم،باجافزارهای Maktub و SamSam زمانی که روی سیستم قربانی قرار میگیرند، برای رمزنگاری فایلها نیازی به اتصال به سرور C&C ندارند. گزارشها نشان میدهد که هدف اولیه باجافزار SamSam صنعت بهداشت و درمان است.
کرگ ویلیامز مدیر ارشد فنی شرکت سیسکو تالوس در این باره گفته است: «در گذشته باجافزارهایی همچون CryptoLocker و TeslaCrypt به فردی نیاز داشتند تا ضمیمه متصل به یک ایمیل را باز کند یا به بازدید از سایتی مبادرت ورزد. اما SamSam سرورهای آسیبپذیر را هدف خود قرار داده است. این سرورها همیشه در دسترس هستند و همیشه ظرفیت بالقوهای برای آسیبپذیری در آنها وجود دارد.» کارشناسان امنیتی در این باره میگویند که روشی که این دو باجافزار از آن استفاده میکنند، نه تنها به آنها کمک میکند کاملاً پنهان بمانند، بلکه به آنها این توانایی را میدهد تا بیشترین میزان خسارت را به زیرساختهای شرکت هدف وارد کنند. ویلیامز درباره با باجافزارSamSam گفته است: «بدافزار فوق میتواند با استفاده از آسیبپذیریهای شناختهشده در سروری که وصلههای مربوطه را دریافت نکرده است، به درون شبکه بیمارستان راه پیدا کند.
زمانی که هکرها به شبکهای دست پیدا میکنند، سیستمهای اطلاعاتی مهم و حیاتی را شناسایی کرده و فرایند رمزنگاری روی این دادهها را انجام میدهند. گزارشها نشان میدهد که هدف اصلی این باجافزارها سرورها و سیستمهایی است که اطلاعات پزشکی در آنها نگهداری میشود.» سیسکو تالوس در این خصوص گفته است: «مکانیزم مورد استفاده توسط samsam کمی غیررایج است، به دلیل اینکه به جای متمرکز شدن روی کاربر از روشهای از راه دور استفاده میکند. هکرها با استفاده از آسیبپذیریهای شناختهشده در سرورهای JBoss و قبل از آنکه لایه وب نصب شود، اقدام به بهرهبرداری از این آسیبپذیری کرده و در ادامه سیستمهای متصل به شبکه را شناسایی کرده و برای رمزنگاری فایلها روی این سیستمها بدافزار samsam را نصب میکنند.
مجرمان سایبری از ابزار منبع باز JexBoss برای بررسی و بهرهبرداری از سرورهای کاربردی JBoss استفاده میکند. هکرها به محض ورود به شبکه، فرایند رمزنگاری سیستمهای ویندوزی را آغاز میکنند. این دو باجافزار هیچگونه سرور C&C و فرماندهی معمولی در اختیار ندارند. این دو باجافزار بهطور معمول فرایند رمزنگاری اطلاعات را انجام میدهند، اما دسترسی به سایتهای وردپرس متعلق به این باجافزارها تنها از طریق شبکههای تور امکانپذیر است. صنعت بهداشت و درمان و بهویژه بیمارستانها به این دلیل مورد توجه هکرها قرار گرفتهاند که معمولاً از فناوریهای قدیمی و غیرایمن استفاده میکنند.» اما شیوه کارکرد باجافزار Maktub به این شکل است که ابتدا فایلهایی را که باید رمزنگاری شوند، فشردهسازی کرده و در ادامه این فرایند را روی آنها انجام میدهد. این کار باعث میشود سرعت رمزنگاری به میزان قابل توجهی افزایش پیدا کند. ویلیامز در این خصوص گفته است: «پیشبینی من این است که بیمارستانها اولین هدف هکرها در این زمینه هستند و انتظار میرود این باجافزارها به سراغ حوزههای دیگر صنعت نیز بروند.» اما به راستی چه عاملی باعث شده است این باجافزارها تا به این اندازه خطرناک شوند؟ سیسکو تالوس در این باره گفته است: «بر خلاف باجافزارهایی که در آنها هکرها سعی میکنند هیچگونه ارتباط مستقیمی با قربانیان برقرار نکنند، مکانیزم مورد استفاده توسط این باجافزارها به گونهای است که به قربانیان و هکرها اجازه میدهد بر سر مسائل مالی و پرداخت باج مربوطه با یکدیگر به مذاکره بپردازند.»
گزارشهایی که به دست پلیس رسیده است، نشان میدهد که سازندگان این باجافزارها افرادی تازهکار هستند، به دلیل اینکه باجهای کمی را از قربانیان مطالبه میکنند و برای اینکه مطمئن شوند قربانی باج مربوطه را پرداخت میکند، بهآرامی نرخ باج را افزایش میدهند. همچنین در مصاحبهای که با قربانیان انجام گرفته است، آنها اعلام کردهاند در مذاکره با هکرها موفق شدهاند از آنها در خصوص باج پرداختی تخفیف بگیرند! ویلیامز در بخش پایانی صحبتهای خود گفته است: «باجافزارهایی که اکنون مشاهده میکنیم نمونه تکاملیافتهای از نمونههایی هستند که سال گذشته شاهد حضور آنها بودیم. این باجافزارها به ما نشان دادند که دیگر نیازی به استفاده از ایمیلهای جذاب و به ظاهر قانونی برای فریب افراد ضرورتی ندارد. بدون شک در ماههای آینده شاهد ظهور نمونههای مختلفی از این باجافزارها خواهیم بود.»
منبع:رسانه خبری امنیت اطلاعات