کمیته رکن چهارم – نسخه جدیدی از باجافزار Scarab، با عنوان Scarabey با تغییراتی نسبتاً قابل توجه در مقایسه با نسخه قبلی آن سیستمهای کاربران و سازمانها را هدف قرار داده است.
اتصال از راه دور مهاجمان از طریق پودمان Remote Desktop – به اختصار RDP – به دستگاههای با گذرواژه ضعیف و اجرای فایل مخرب باجافزار اصلیترین روش انتشار این نسخه جدید از Scarab است.
در حالی که Scarab با Visual C نوشته شده، Scarabey با زبان برنامهنویسی Delphi و بدون بهرهگیری از C++ Packing توسعه داده شده است.
همچنین بر خلاف اطلاعیه باجگیری Scarab که انگلیسی است، اطلاعیه نسخه جدید به زبان روسی نوشته شده که نمایانگر تمرکز اصلی گردانندگان این نسخه بر روی اهداف روسی زبان است. هر چند که به این معنای در امان بودن کاربران ایرانی از گزند Scarabey نیست.
از نکات قابل توجه در نسخه پیشین، وجود اشتباهات دستوری و نوشتاری در اطلاعیه باجگیری آن است. جالب اینکه در صورت ترجمه محتوای روسی اطلاعیه باجگیری Scarabey به زبان انگلیسی از طریق Google Translate، همان اشتباهات دستوری و نوشتاری تکرار میشود.
تفاوت دیگر این دو نسخه اینکه، بر خلاف Scarab که در آن به قربانی گفته میشود که عدم پرداخت باج در مدت تعیین شده منجر به افزایش مبلغ اخاذی شده میشود، در Scarabey به کاربر هشدار داده میشود که در صورت پرداخت نشدن باج ظرف ۲۴ ساعت، ۲۴ فایل از روی دستگاه حذف شده و این کار را تا زمانی که دیگری فایلی بر روی دستگاه باقی نمانده باشد ادامه مییابد.
با این حال بررسیهای انجام شده نشان میدهد که حداقل این نسخه فاقد عملکرد حذف است. ضمن اینکه با وجود ادعای Scarabey مبنی بر در اختیار داشتن یک کپی از فایلهای حذف شده هیچ عملیات کپی نیز صورت نمیگیرد. بنابراین حتی در صورت فعال بودن عملکرد حذف نیز باجافزار قادر به بازگردانی آنها نمیبود.
Scarabey را میتوان در دسته باجافزارهایی قرار داد که از طریق پودمان RDP به سرورها و دستگاهها رخنه و آنها را به خود آلوده میکنند.
پودمان RDP قابلیتی در سیستم عامل Windows است که امکان اتصال از راه دور کاربران تعیین شده را به دستگاه فراهم میکند.
علاوه بر مدیران شبکه که از این پودمان برای اتصال به سرورها و ایستگاههای کاری سازمان استفاده میکنند، در بسیاری از سازمانهای کوچک و متوسط نیز از RDP برای برقرار نمودن ارتباط از راه دور پیمانکاران حوزه IT، به سرورهایی همچون حقوق و دستمزد، اتوماسیون اداری و غیره استفاده میشود.
تبهکاران سایبری از ابزارهایی همچون Shodan برای شناسایی سرورهای با درگاه RDP باز بر روی اینترنت استفاده کرده و در ادامه با بکارگیری ابزارهایی نظیر NLBrute اقدام به اجرای حملات موسوم به Brute Force میکنند.
هدف از اجرای حملات Brute Force رخنه به دستگاه از طریق پودمانی خاص – در اینجا RDP – با بکارگیری ترکیبی از نامهای کاربری و رمزهای عبور رایج است. بنابراین در صورتی که دسترسی به پودمان RDP از طریق کاربری با رمز عبور ساده و غیرپیچیده باز شده باشد مهاجمان نیز به راحتی امکان اتصال به دستگاه را خواهند داشت.
در صورت برقرار شدن اتصال، مهاجمان نرمافزاری را بر روی سرور اجرا کرده و از آن برای دستدرازی به تنظیمات و سرویسهای نرمافزارهای ضدبدافزار، پشتیبانگیری و پایگاه داده نصب شده بر روی آن استفاده میکنند. در ادامه نیز فایل مخرب باجافزار را دریافت کرده و بر روی سرور به اجرا در میآورند.
رعایت موارد زیر برای جلوگیری و پیشگیری از اجرای موفقیتآمیز چنین حملاتی توصیه میشود:
- بکارگیری ضدویروس به روز و قدرتمند
- استفاده از دیواره آتش
- استفاده از رمزهای عبور پیچیده
- اطمینان از نصب بودن تمامی اصلاحیههای امنیتی
- غیرفعال نمودن پودمان RDP در صورت عدم نیاز به آن
- استفاده از پودمان VPN یا Virtual Private Network برای اتصال از راه دور کارکنان و پیمانکاران سازمان
- بهرهگیری از اصالتسنجی دو مرحلهای (۲FA)، در صورت امکان
- فعال کردن Account Lockout Policy در تنظیمات Group Policy
لازم به ذکر است که نمونه بررسی شده در این خبر با نامهای زیر قابل شناسایی میباشد:
McAfee:
– GenericRXDM-JB!9A02862AC953
Bitdefender:
– Gen:Variant.Ransom.Scarab.3
منبع : شبکه گستر