کمیته رکن چهارم – یک شرکت میزبانی وب در کرهی جنوبی با نام Nayana حاضر شد تا ۱ میلیون دلار را در قالب بیتکوین به مهاجمان سایبری پرداخت کند. نزدیک به ۱۵۳ کارگزار لینوکس متعلق به این شرکت هدف حملهی باجافزار قرار گرفته بود و این مبلغ برای بازیابی این کارگزارها و پروندههای آنها پرداخت شده است.
به گزارش کمیته رکن چهارم،این حمله در تاریخ ۱۰ ژوئن اتفاق افتاده و باعث شده ۳۴۰۰ وبگاه تجاری که بر روی این کارگزارها میزبانی میشدند رمزنگاری شوند. براساس بیانیهی اولیهی این شرکت، مهاجمان سایبری ۵۵۰ بیتکوین (معادل ۱.۶ میلیون دلار) باج برای بازیابی پروندهها درخواست کرده بودند. آنها در ادامه توانستند با مذاکره مبلغ باج را به ۱.۰۱ میلیون دلار کاهش دهند.
این شرکت اعلام کرد مبلغ باج در ۳ دوره پرداخت خواهد شد و پس از آن مهاجمان سایبری پروندههایی که تحت تأثیر قرار گرفتهاند را رمزگشایی خواهند کرد. در حال حاضر ۲ سری از باجها پرداخت شده و شرکت در حال بازیابی پروندههای خود متناسب با این پرداختها است. محققان امنیتی ترندمیکرو کشف کردند باجافزاری که در این حملات مورد استفاده قرار گرفته، Erebus نام دارد. این بدافزار اولین بار در ماه سپتامبر سال ۲۰۱۶ میلادی مورد بررسی قرار گرفت و از اویل سال جاری در حملات فعال مجدداً مشاهده شد. اخیراً نیز به این باجافزار، قابلیت دور زدن کنترل حساب کاربری ویندوز افزوده شده است.
ظاهراً فردی این باجافزار را به سامانههای لینوکس مرتبط کرده و برای هدف قرار دادن کارگزارهای آسیبپذیر از آن استفاده کرده است. این بدافزار بر روی لینوکس با نسخهی ۲.۶.۲۴.۲ اجرا میشود که در سال ۲۰۰۸ میلادی کامپایل شده است. این سامانهها دارای آسیبپذیریهای اساسی مانند آسیبپذیری «گاوِ کثیف» بودند که مهاجم میتوانست از آنها بهرهبرداری کرده و بر روی وبگاههای مورد نظر به دسترسیهای ریشه برسد.
وبگاههایی که در این شرکت میزبانی میشوند از آپاچی ۱.۳.۳۶ و پیاچپی نسخهی ۵.۱.۴ استفاده میکنند که هر دوی اینها در سال ۲۰۰۶ میلادی منتشر شدهاند و وجود چندین آسیبپذیری در هریک از آنها به اثبات رسیده است. به احتمال بسیار زیاد، این آسیبپذیریها در نصبهای لینوکس نقطهی ورود مهاجمان برای توزیع باجافزار بر روی سامانه هستند. آپاچی که شرکت Nayana از آن استفاده میکند از کاربریِ هیچکس بهره میبرد که بهطور محلی توسط مهاجمان سایبری قابل بهرهبرداری است.
به نظر میرسد این باجافزار در وهلهی اول کرهی جنوبی را هدف قرار داده است ولی نمونههایی از آن در اوکراین و رومانی نیز مشاهده شده است. باجافزار Erebus از یک رمزنگاریِ بسیار پیچیده استفاده میکند که باعث شده رمزگشایی پروندهها بدون داشتن کلیدهای RSA کار بسیار سختی باشد. این باجافزار برای رمزنگاری پروندهها از الگوریتم AES استفاده میکند و در ادامه نیز برای رمزنگاری کلیدهای AES از الگوریتم RSA بهره میبرد.
این باجافزار اسناد آفیس، پایگاه دادهها، پروندههای آرشیوی و چند رسانهای را هدف قرار داده و در کل میتواند ۴۳۳ نوع پروندهی مختلف را رمزنگاری کند. با اینحال، باجافزار بهطور ویژه طراحی شده و میتواند کارگزارهای وب را هدف قرار داده و دادههای موجود در آنها را رمزنگاری کند.
منبع:security week
