کمیته رکن چهارم – باتت هرزنامهای Necurs تغییر رویه داده و برای توزیع باجافزار لاکی در پویشهای خود از صورتحسابهای جعلی استفاده میکند. سال گذشته شاهد بودیم که باجافزار لاکی در صدر تهدیدات سایبری قرار گرفته بود و مهمترین ابزار برای توزیع، همین باتنت Necurs بود. این باتنت پس از تعطیلات چند ماهه در اوایل سال ۲۰۱۷ میلادی، در ماه آوریل دوباره به عرصهی تهدیدات بازگشته بود ولی فقط برای چند هفته باجافزار لاکی را توزیع کرد.
به گزارش کمیته رکن چهارم،از تاریخ ۱۲ می، درست از همان روزی که باجافزار «گریه» پدیدار شد، این باتنت به توزیع باجافزار دیگری به نام Jaff اقدام کرد. این باجافزار بهنظر میرسید بسیار به باجافزار لاکی شباهت دارد و محققان ادعا کرده بودند نویسندگان این دو بدافزار، یک نفر است. اوایل این ماه نیز محققان از آزمایگشاه کسپرسکی در کد باجافزار Jaff آسیبپذیری را کشف و ابزاری برای رمزگشایی هر ۳ نسخه از این بدافزار منتشر کردند.
به نظر میرسد انتشار این ابزار رمزگشایی توسط کسپرسکی، باجافزار Jaff را از میدان به در کرده و این باتنت تصمیم گرفته مجدداً به توزیع باجافزار لاکی روی بیاورد. در رایانامههای هرزنامهای یک پروندهی آرشیوی ارسال میشود که در داخل آن یک پروندهی اجرایی وجود دارد. برخلاف پویشهای قبلیِ این باتنت که در قالب تأیید سفارش، رسید پرداخت و اسناد تجاری عمل میکرد، هرزنامههای فعلی با عنوان صورتحسابهای جعلی ارسال میشوند.
محققان سیسکو تالوس اشاره کردند شدت حمله و ارسال هرزنامه در پویش جدید بسیار بالا است بهطوری که در عرض یک ساعت توانسته است ۷ درصد از رایانامههایی را که در یک شرکت ثبت شدهاند، تحت تأثیر قرار دهد. این حجم بالا از حملات در ساعات اولیه در حال حاضر کاهش یافته است ولی پویش همچنان فعال بوده و به عملیات خود ادامه میدهد.
در این پویش از همان شناسههای قبلی استفاده شده ولی بهنظر میرسد تغییراتی در خود باجافزار ایجاد شده است. یکی از این تغییرات، از رمزنگاری دادهها در سامانه عاملهای جدیدتر از ویندوز ایکسپی جلوگیری میکند. ساختار آدرسهای URL مربوط به دامنههای دستور و کنترل نیز نکتهی قابل توجه دیگری است. گفته میشود ساختار این آدرسها مشابهتهایی با نسخههای قبلی لاکی دارد و ظاهراً مهاجمان سایبری در پویش جدید خود شتابزده عمل کردهاند.
محققان سیسکو تالوس میگویند نویسندگان باجافزار لاکی به احتمال زیاد از وجود اشکالات در این بدافزار مطلع هستند و بهزودی در قالب بهروزرسانیهایی این اشکالات را برطرف خواهند کرد. در حال حاضر نمونههایی از باجافزار لاکی که توسط باتنت Necurs توزیع شده، فقط میتواند پروندهها را در سامانه عامل ویندوز ایکسپی رمزنگاری کند.
محققان تالوس گفتند: «این مسئله همواره بسیار خطرناک است که در رایانامههای مشکوک بر روی پیوندها کلیک و یا ضمیمههای آن را باز کنید. اگر کاربری این توصیهها را جدی نگیرد، بدون شک یکی از قربانیان باجافزار خواهد بود که برای بازیابی پروندهها باید باجِ درخواستی را پرداخت کند. مجدداً به سازمانها توصیه میشود تا بهطور مکرر از پروندههای خود نسخهی پشتیبان تهیه کرده و بهطور برون-خط از آنها نگهداری کنند.»
منبع:security week
