باج افزارها در هفته دوم شهریور – مراقب باشید!

اخبار باج افزار ها

در اخبار باج افزار امروز، به چندین نسخه‌ی جدید از باج افزار ها خواهیم پرداخت که تعدادی از آن‌ها توزیع شده و فعال هستند. هم‌چنین به گزارش‌های منتشرشده‌ی اخیر راجع به باج‌افزارهای موجود، مانند Conti و Dharma نگاهی خواهیم داشت.

طبق مشاهدات، طی دو هفته‌ی گذشته فعالیت باج‌افزار SunCrypt بیشتر شده است. هم‌چنین دیده شده باج‌افزار Conti که تبدیل به باج‌افزار محبوب عاملان حملات TrickBot شده است، وبسایت جدیدی برای نشت‌دادن داده‌ها راه‌اندازی کرده، و باج‌افزار Ryuk کم‌کم از صحنه خارج می‌شود.

یکی از طولانی‌ترین عملیات‌های استفاده از باج‌افزار، یعنی Dharma، هم‌چنان به شدت فعال بوده و بین هکرهای ایرانی که سرورهای RDP آسیب‌پذیر را هدف قرار می‌دهند، محبوبیت بالایی دارد.

FBI دومین هشدار را نسبت به باج‌افزار ProLock منتشر کرد که اقدام به سرقت داده‌ی قربانیان می‌کند.

در نهایت، مشاهدات حاکی از آن است که هکرهای سازنده باج‌افزار Thanos سعی داشته‌اند قابلیت قفل MBR را به این باج‌افزار اضافه کنند، که البته این کار تا به حال ناموفق بوده است.

در ادامه به مهم‌ترین اتفاقات دنیای باج‌افزار در هفته گذشته خواهیم پرداخت.

کشف نوع جدیدی از XMRLocker

نوع جدیدی از باج‌افزار XMRLocker دیده شده که پسوند .XMRLocker را به فایل‌ها اضافه کرده و یادداشتی به اسم ReadMe(HowToDecrypt).txt به جا می‌گذارد که در آن در ازای رمزگشایی فایل‌ها تقاضای باج می‌کند.

xmrlocker

حمله‌ی هکرهای ایرانی به سرورهای RDP آسیب‌پذیر با هدف انتقال باج‌افزار Dharma

هکرهایی کم‌مهارت که احتمالا ایرانی هستند به حوزه‌ی کسب درآمد از باج‌افزارها وارد شده‌اند و شرکت‌هایی را در روسیه، هند، چین و ژاپن مورد هدف قرار می‌دهند. این هکرها به اهداف ساده‌تر حمله کرده، و از ابزارهایی استفاده می‌کنند که به صورت عمومی در دسترس هستند.

RDP هم‌چنان در صدر

پراستفاده‌ترین اکسپلویت‌ها توسط گروه‌های باج‌افزاری باگ‌های موجود در VPN هستند، با وجود این که گروه‌های باج‌افزاری فعالیت‌های خود را براساس مهارت‌هایی که دارند تنظیم می‌کنند، بیشتر حوادث مربوط به باج‌افزارها در نیمه‌ی اول سال 2020 را می‌توان به چند دسته‌بندی محدود از روش‌های حمله نسبت داد که ظاهرا امسال برای این گروه‌ها در اولویت بوده‌اند. باگ‌های موجود در VPN، پراستفاده‌ترین اکسپلویت‌ها توسط گروه‌های باج‌افزاری هستند اما RDP هنوز در صدر قرار دارد.

نسخه‌ی جدید BOOP از باج‌افزار STOP

نوع جدیدی از باج‌افزار STOP دیده شده که پسوند boop. را به فایل‌ها اضافه می‌کند.

باج‌افزار جدید ViluciWare

باج‌افزار جدیدی به نام ViluciWare مشاهده شده که پسوند .locked را به فایل‌ها اضافه می‌کند.

وبسایت نشت داده باج‌افزار Conti

باج‌افزار Conti، که جانشین باج‌افزار معروف Ryuk است، وبسایت جدیدی برای نشت داده‌ها راه‌اندازی کرده است. این کار بخشی از استراتژی آنها برای فشار آوردن به قربانی و مجبورکردن او به پرداخت باج است.

باج‌افزار DarkSide ساختمان‌ساز کانادایی را قربانی خود کرد

شرکت عمرانی کانادایی Brookfield Residential یکی از اولین قربانیان باج‌افزار جدید DarkSide شده است.

باج‌افزار جدید Gladius

باج‌افزار جدیدی دیده شده که «Gladius» لقب گرفته است. این باج‌افزار حروف «gladius» را به نام فایل‌های رمزگذاری‌شده اضافه کرده و یادداشتی با نام Your files are encrypted.txt را به جا می‌گذارد که در آن در ازای رمزگشایی فایل‌ها از قربانی درخواست پرداخت باج شده است.

باج‌افزار SunCrypt اطلاعات جدیدی از باند اخاذی Maze به دست می‌دهد

یک باج‌افزار با نام SunCrypt به باند «Maze» اضافه شده است، و عضویت آنها در این باند، دیدگاهی جدید از همکاری این گروه‌ها با یکدیگر به ما می‌دهد.

باج‌افزار جدید CoronaCryptor

باج‌افزار جدیدی به نام CoronaCryptor مشاهده شده که پسوند .locked را به فایل‌ها اضافه می‌کند.

ایلان ماسک اقدامات یک فرد روسی را برای اخاذی از شرکت تسلا تایید کرد

پلیس FBI اقدامات یک فرد 27 ساله با ملیت روس با نام ایگور ایگورویچ کریوشکف را متوقف کرده که سعی داشته یکی از کارمندان کارخانه‌ی تسلا در نوادا را حاضر به همکاری کرده و او را مجاب کند بدافزاری در شبکه‌ی شرکت قرار دهد، تا بتواند با تهدید نشت داده‌های به سرقت رفته از سیستم‌های تسلا، از این شرکت باج بگیرد.

نسخه‌ی جدید باج‌افزار BlackHeart

تیم MalwareHunterTeam نسخه‌ی جدیدی از باج‌افزار BlackHeart را یافته‌اند.

mht-blackheart

باج‌افزار Zorab خود را یک نرم‌افزار رمزگشا جا می‌زند

باج‌افزاری به نام Zorab مشاهده شده است که خود را به عنوان نرم‌افزاری رمزگشا برای باج‌افزار STOP Djvu جا می‌زند.

باج‌افزار جدید Hexadecimal

باج‌افزاری جدید با نام Hexadecimal دیده شده که پیشوند Lock. را به نام فایل‌ها اضافه می‌کند.

نسخه‌ی جدید باج‌افزار VashSorena v4

نسخه‌ی جدیدی از باج‌افزار VashSorena پیدا شده که پسوند .Id-xxxxxxxx.secure را به فایل‌ها اضافه کرده و دو یاددا‌شت HELP_DECRYPT_YOUR_FILES.html و HELP_DECRYPT_YOUR_FILES.txt را از خود به جا می‌گذارد که در آنها از قربانی تقاضای پرداخت پول در ازای رمزگشایی فایل‌ها شده است.

باج‌افزار جدید Geneve

باج‌افزار جدیدی به اسم Geneve مشاهده شده که پسوندی تصادفی به فایل‌ها اضافه کرده و یادداشتی با نام DECRYPT.html به جا می‌گذارد که در آن از قربانی باج‌خواهی شده است.

geneve

باج‌افزار Screen Locker جدید با نام BlackKnight

باج‌افزار جدیدی به نام BlackKnight مشاهده شده است که از نوع Screen Locker بوده و صفحه‌ی دسکتاپ را قفل می‌کند؛ قربانی برای دسترسی به دسکتاپ باید رمز عبوری را وارد کند.

نسخه‌ی جدیدی از باج‌افزار Matrix

نسخه‌ی جدیدی از باج‌افزار Matrix مشاهده شده که پسوند .FDFK22 را به فایل‌ها اضافه کرده و یادداشتی با نام FDFK22_INFO.rtf را برای باج‌خواهی از قربانی به جا می‌گذارد.

باج‌افزاری جدید با نام Crypter

این باج‌افزار جدید پسوند .locked را به فایل‌ها اضافه می‌کند.

نرم‌افزار DLL Fixer، پوششی برای باج‌افزار Cyrat

این بدافزار از نام DLL fixer 2.5 استفاده می‌کند. با اجرای آن، طی نمایش پیامی به کاربر اعلام می‌شود که تعدادی فایل DLL معیوب در سیستم وجود دارد (این تعداد یک عدد تصادفی است که در زمان اجرا تولید می‌شود). پس از این که سیستم رمزگذاری شد، پیامی مبنی بر موفقیت‌آمیزبودن تعمیر فایل‌های DLL نمایش داده می‌شود.

cryrat

نسخه‌ای جدید از باج‌افزار HiddenTear

نسخه‌ای جدید از باج‌افزار HiddenTear دیده شده که پسوند .UGMH را به فایل‌ها اضافه می‌کند.

نسخه‌ی جدید HiddenTear

نسخه‌ی جدید دیگری از HiddenTear نیز دیده شده که این نسخه پسوند .klavins را به فایل‌های رمزگذاری‌شده اضافه می‌کند.

باج‌افزار جدید AESMewLocker

باج‌افزار جدیدی که AESMewLocker نام گرفته مشاهده شده است که پسوند .locked را به فایل‌ها اضافه کرده و یادداشتی با نام READ_IT.txt برای باج‌خواهی به جا می‌گذارد.

باج‌افزار جدید z3enc

این باج‌افزار جدید پسوند .z3enc را به فایل‌های رمزگذاری‌شده اضافه می‌کند.

z3enc

باج‌افزار جدید Fappy

این باج‌افزار نسخه‌ای از باج‌افزار HiddenTear است که پسوند .Fappy را به فایل‌های رمزگذاری‌شده اضافه می‌کند.

fappy

نسخه‌ی جدید باج‌افزار Dharma موسوم به GOLD

نسخه‌ی جدیدی از باج‌افزار Dharma دیده شده که پسوند gold. را به فایل‌ها اضافه می‌کند.

باج‌افزار جدید AIDS_NT

باج‌افزار جدیدی با نام AIDS_NT دیده شده که یادداشتی با نام AIDS_NT_Instructions.txt برای باج‌خواهی از قربانی به جا می‌گذارد.

باج‌افزار Thanos قابلیت قفل MBR ویندوز را به خود اضافه کرده

گونه‌ی جدیدی از باج‌افزار Thanos سعی دارد با بازنویسی MBR ویندوز کامپیوتر یادداشت باج‌خواهی را در سیستم‌های آلوده‌شده قرار دهد، که البته تا به حال موفق نشده است.

دومین هشدار FBI در خصوص سرقت داده توسط باج‌افزار ProLock

پلیس FBI دومین هشدار خود را در این هفته منتشر کرد تا به شرکت‌های آمریکایی اخطار دهد که اپراتورهای ProLock قبل از رمزگذاری سیستم‌های قربانیان خود، داده را از شبکه‌های آلوده‌شده سرقت می‌کنند.

باج‌افزار SunCrypt مدارس یک منطقه در کارولینای شمالی را به تعطیلی کشاند

یک منطقه شامل چندین مدرسه در کارولینای شمالی دچار یک نفوذ اطلاعاتی شده است که طی آن فایل‌های رمزگذاری‌نشده، حین یک حمله که توسط اپراتورهای باج‌افزار SunCrypt صورت گرفته است، به سرقت رفته‌اند.

علاقمند به حوزه امنیت اطلاعات و آشنا به حوزه تست نفوذ
  • facebook
  • twitter
  • googleplus
  • linkedIn
  • flickr

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد.