باج‌افزار

توزیع بدافزار Ursnif و باج‌افزار GandCrab در دو پویش مختلف

محققان امنیتی دو پویش جدید را شناسایی کرده‌اند که تازگی فعال شده‌اند. یکی از این پویش‌ها به توزیع بدافزار Ursnif و دیگری به توزیع باج‌افزار GandCrab می‌پرازند. محققان اعلام کردند عوامل این دو پویش با هم متفاوت هستند ولی شباهت‌هایی هم بین آن‌ها وجود دارد. مهاجمان از رایانامه‌های فیشینگ برای توزیع اسناد مخرب مایکروسافت ورد استفاده می‌کنند که از طریق پاورشِل در ادامه بدافزارها را دریافت می‌کند. شرکت‌های امنیتی که این پویش‌ها را پیگیری می‌کنند، ۱۸۰ نمونه مختلف از سند مخرب مایکروسافت ورد را مشاهده کرده‌اند.

 

ظهور مجدد کیت بهره‌برداری Fallout و اضافه شدن آسیب‌پذیری روز-صفرم فلش‌پلیر

محققان امنیتی نسخه‌ی جدیدی از کیت بهره‌برداری Fallout را شناسایی کرده‌اند که در آن یک بهره‌برداری برای آسیب‌پذیری روز-صفرم فلش اضافه شده است. این کیت بهره‌برداری اولین بار در سپتامبر سال ۲۰۱۸ میلادی مورد بررسی قرار گرفت و بدافزارهای مختلف از جمله باج‌افزار و تروجان را توزیع کرده و از مرورگرهای وب انگشت‌نگاری می‌کرد تا اهداف مناسبی را برای حمله‌ی مهاجمان سایبری شناسایی کند. فعالیت‌های این کیت بهره‌برداری تا آخر سال ۲۰۱۸ میلادی ادامه داشت و با شروع ماه ژانویه متوقف شد که می‌توان حدس زد که برای به‌روزرسانی آن بوده است.

تبلیغ و توسعه‌ی باج‌افزار BlackRouter توسط توسعه‌دهنده‌ی ایرانی

گزارش‌ها حاکی از آن است که یک توسعه‌دهنده‌ی ایرانی در کانال‌های تلگرام باج‌افزاری با نام BlackRouter را تبلیغ کرده و به فروش می‌رساند. گفته می‌شود این توسعه‌دهنده قبلا نیز تروجان و بدافزار دیگری را به این شیوه توزیع کرده است. به این روش توزیع و فروش باج‌افزار «باج‌افزار در قالب سرویس» گفته می‌شود. این باج‌افزار اولین بار در ماه می ۲۰۱۸ میلادی شناسایی شده و در ژانویه نیز یک نسخه‌ی جدید از آن کشف شده است. در نسخه‌ی جدید واسط‌های گرافیکی کاربر بهبود داده شده و تایمر به باج‌افزار اضافه شده است. 

 

همکاری بدافزار TrickBot با باج‌افزار Ryuk برای آلوده کردن سیستم قربانیان

باج‌افزار Ryuk یکی از بدافزارهای قدیمی در این حوزه محسوب می‌شود که از سرویس‌هایی مانند سرویس رومیزی راه دور بهره‌برداری کرده پس از بدست آوردن گواهی‌نامه‌های کاربر قربانی، سیستم او را آلوده و فایل‌ها را رمزنگاری می‌کند. این باج‌افزار مبلغ باج بسیار زیادی از قربانی درخواست کرده و تاکنون ۳٫۷ میلیون دلار درآمد داشته است. این باج‌افزار اخیرا در حمله‌ای که توزیع روزنامه‌های آمریکا را با تاخیر مواجه کرد، مورد استفاده قرار گرفته بود.

پویش بدافزاری با قابلیت‌های سرقت اطلاعات و رمزنگاری با باج‌افزار GandCrab راه‌اندازی شده است

پویش جدید بدافزاری به راه افتاده که با استفاده از بار داده‌های مختلف سعی دارد اطلاعات محرمانه‌ی قربانی را به سرقت برده و فایل‌ها را با استفاده از باج‌افزار GandCrab رمزنگاری کند. مهاجمان سایبری از کیت بهره‌برداری با نام Fallout استفاده کرده‌اند که این ابزار برای بهره‌برداری از آسیب‌پذیری در پورت‌ها و نرم‌افزار و نصب درب پشتی بر روی سامانه‌ی قربانی طراحی شده است. گزارش‌ها حاکی از آن است که این کیت بهره‌برداری، بار داده‌ی سارق اطلاعات با نام Vidar  و باج‌افزار GandCrab را بر روی سیستم قربانی نصب می‌کند.

 

انتشار ابزار رمزگشایی رایگان برای فایل‌های رمزنگاری‌شده با باج‌افزار Aurora

کاربرانی که قربانی باج‌افزاری با نام Aurora شده‌اند، از این پس می‌توانند از یک ابزار رمزگشایی که توسط یک محقق امنیتی سرشناس با نام Michael Gillespie منتشر شده، برای رمزگشایی فایل‌های خود استفاده کنند. این ابزار به‌طور رایگان در اختیار همه‌ی کاربران قرار گرفته است. این بدافزار کاربران ویندوز را هدف قرار داده و به انتهای فایل‌های رمزنگاری‌شده پسوند .Nano را اضافه می‌کند. مهاجمان با استفاده از دسترسی‌های سرویس رومیزی از راه دور (Remote Desktop Services) سیستم قربانی را آلوده می‌کنند.

انتشار کلید رمزگشایی باج‌افزار FilesLocker توسط توسعه‌دهندگان این بدافزار

در تاریخ ۲۹ دسامبر یک پست در Pastbin منتشر شد که در آن کلید اصلی RSA رمزگشایی برای باج‌افزار FilesLocker در آن منتشر شده بود. استفاده از این کلید رمزگشایی در ابزارهای رمزگشایی اجازه می‌داد تا قربانیان این باج‌افزار بتوانند فایل‌های رمزنگاری‌شده‌ی خود را بازیابی کنند. محققان نسخه‌ی کریسمیسی از این باج‌افزار را به تازگی مشاهده کرده‌اند که طبق روال نسخه‌های قبلی، فایل‌های قربانی را رمزنگاری کرده و پیغام باج‌خواهی را نمایش داده و باج درخواست می‌کند. در ضمن در نسخه‌ی جدید تصویر پس‌زمینه‌ی سیستم قربانی به یک تصویر کریسمس نیز تغییر داده می‌شود. 

حمله‌ی باج‌افزاری زنجیره‌ی تحویل روزنامه‌های آمریکا را تحت تاثیر قرار داد

گزارش‌ها حاکی از آن است که زنجیره‌ی توزیع هاردکپی از روزنامه‌های آمریکا هدف حمله‌ی باج‌افزار قرار گرفته و از این رو، روزنامه‌ها با تاخیر منتشر شده‌اند. به گفته‌ی محققان این حمله در شبکه‌ی Tribune Publishing که متصل به بخش عملیاتی و چاپ روزنامه‌ها است، در روز شنبه رخ داده است. کارشناسان در ابتدای امر فکر می‌کردند کارگزارهای این شبکه از کار افتاده‌اند ولی در ادامه بررسی‌ها نشان داد که حمله‌ی باج‌افزاری رخ داده است. به دنبال این حادثه، انتشار روزنامه‌های LA Times و San Diego Union Tribune برای روز یکشنبه با تاخیر مواجه شد.

آلوده شدن کارگزارهای لینوکس با باج‌افزار JungleSec از طریق کنسول راه دور IPMI

از ماه نوامبر تا کنون باج‌افزار جدیدی با نام JungleSec کارگزارهای لینوکس را با استفاده از کارت‌های واسط مدیریت بستر هوشمند (IPMI) هدف قرار داده و آلوده می‌کند. این ابزار یک نرم‌افزار خودمختار و خودکار است که مستقل از نوع سامانه عامل و پردازنده، می‌تواند قابلیت‌های مدیریت و نظارت بر روی زیرسامانه‌ها را از راه دور فراهم کند. این واسط می‌تواند به‌طور نامناسب پیکربندی شده و در نتیجه مهاجم بتواند با استفاده از گواهی‌نامه‌های پیش‌فرض به سامانه نفود کرده و کنترل آن را در دست بگیرد.

نفوذ به غول حمل‌ونقل انگلستان؛ درس‌هایی مدیریتی از عدم پرداخت باج به نفوذگران

شرکت Clarkson، یکی از بزرگ‌ترین ارائه‌دهندگان خدمات حمل‌ونقل جهان، هفته‌ی گذشته اعلام کرد که از یک افشاء اطلاعاتی رنج می‌برد و ممکن است نفوذگران برخی اطلاعات را که از سامانه‌های آن به سرقت برده‌اند منتشر کنند.

شرکت Clarkson تنها جزئیات اندکی از این نفوذ  ارائه داد، اما این اطلاعاتی که به صورت عمومی منتشر شده، نشان می‌دهد که این شرکت مورد هدف مجرمان سایبری قرار گرفته که سعی داشتند برای جلوگیری از افشاء اطلاعات به صورت برخط  آن را مجبور به پرداخت باج کنند.

صفحه‌ها