اخبار باج‌افزار در هفته‌ای که گذشت: اخاذی‌های افسارگسیخته | هفته‌ی چهارم آبان

اخبار باج افزار ها

در هفته‌ی گذشته حملات بزرگ باج‌افزاری زیادی مشاهده نشد، ولی شاهد این بودیم که تاکتیک‌های گروه‌های باج‌افزاری برای اخاذی از قربانیان بیش از پیش تکامل پیدا کرده‌اند.

بزرگترین حمله‌ی هفته‌ی گذشته روی شرکت تایوانی تولید‌کننده‌ی لپ‌تاپ، Compal و توسط باج‌افزار DoppelPaymer صورت گرفت. عاملان تهدید برای ارسال رمزگشا و عدم نشت فایل‌های به‌سرقت‌رفته، مبلغ 17 میلیون دلار را تقاضا کرده‌اند.

علاوه بر این در هفته‌ی گذشته عملیات‌های باج‌افزاری برای تحت فشار قرار دادن قربانیان خود و مجبورکردن آن‌ها به پرداخت مبلغ باج شروع به استفاده از تاکتیک‌های جدید کرده‌اند.

پس از حمله‌ی Ragnar Locker به Campari که هفته‌ی سوم آبان خبر آن منتشر شد، این گروه باج‌افزاری یکی از حساب‌های تبلیغاتی فیس‌بوک را هک کرده تا با استفاده از تبلیغات در فیس‌بوک باعث بیشتر دیده‌شدن حمله‌ی خود شده و قربانیان خود را به انتشار داده‌های بیشتر تهدید کند. استراتژی آن‌ها این است که تا جایی که می‌توانند از طریق اطلاع‌رسانی عمومی قربانی را تحت فشار قرار دهند، به امید آن که قربانی مجبور به پرداخت مبلغ باج درخواستی شود.

یکی دیگر از تاکتیک‌های جدید، توسط گروه باج‌افزاری DarkSide اعلام شده است. این گروه اعلام کرده قصد دارد یک سرویس ذخیره‌سازی توزیع‌شده‌ی تحمل‌پذیر خطا (fault-tolerant) مستقر در یکی «جمهوری‌های‌ فاقد رسمیت» راه‌اندازی کند. هدف این گروه از راه‌اندازی این سرویس ذخیره‌سازی، استفاده از آن به عنوان بستری برای نشت داده‌های قربانیان به مدت شش ماه است؛ از آن‌جایی که این سرویس توزیع‌شده است، اگر یکی از سرویس‌ها توسط مجریان قانون از کار انداخته شود، باقی سرورها هم‌چنان می‌توانند داده‌ها را نشت دهند.

باقی اخبار این هفته عمدتاً مربوط به ظهور نسخه‌های جدید از خانواده‌های باج‌افزاری موجود بودند.

در ادامه مهم‌ترین اخبار دنیای باج‌افزار در هفته‌ی گذشته را به ترتیب زمانی مرور خواهیم کرد.

درآمد 34 میلیون دلاری یک گروه باج‌افزاری از تنها یک قربانی با استفاده از باج‌افزار Ryuk:

یک گروه هکری که شرکت‌های پردرآمد را با باج‌افزار Ryuk هدف قرار می‌دهد، از یکی از قربانیان خود در ازای کلید رمزگشایی برای گشودن قفل کامپیوترهای قربانی، 34 میلیون دلار دریافت کرده است.

وقتی عاملان تهدید ناشناخته باقی می‌مانند: Vatet، PyXie و Defray777:

تحقیقات انجام‌شده روی خانواده‌های بدافزاری نشان می‌دهد که شباهت‌های فراوانی میان Vatet، PyXie و Defray777 وجود دارد. از این مساله می‌توان نتیجه گرفت که هر سه‌ی این خانواده‌های بدافزاری توسط یک گروه هکری یکسان با انگیزه‌ی مالی ایجاد شده و در حال حاضر استفاده می‌شوند.

استقرار Cobalt Strike در پی به‌روزرسانی‌های مخرب منتشر‌شده توسط تیم‌های مایکروسافت جعلی:

گروه‌های باج‌افزاری در حال استفاده از تبلیغات جعلی و مخرب تحت عنوان به‌روزرسانی‌های تیم‌های مایکروسافت برای آلوده‌کردن سیستم‌ها به بک‌دور (backdoor) هستند. این بک‌دورها منجر به استقرار بدافزار Cobalt Srike می‌شوند که باقی سیستم را آلوده می‌کند.

نسخه‌ی جدیدی از باج‌افزار STOP:

نسخه‌ی جدیدی از باج‌افزار STOP مشاهده شده که پسوند .agho را به فایل‌های رمزگذاری‌شده اضافه می‌کند.

نسخه‌ی جدیدی از باج‌افزار Dusk 2:

نسخه‌ی جدیدی از باج‌افزار Dusk 2 مشاهده شده که پسوند .DUSK را به فایل‌های رمزگذاری‌شده اضافه کرده و یادداشتی با نام README.txt برای درخواست باج از خود به جا می‌گذارد.

حمله‌ی باج‌افزاری به شرکت تولید لپتاپ Compal، تقاضای 17 میلیون دلار:

شرکت تایوانی تولیدکننده‌ی لپتاپ به نام Compal Electronics طی آخر هفته‌ متحمل حمله‌ای از سوی باج‌افزار DoppelPaymer شده، و مهاجمان مبلغ باج تقریبا 17 میلیون دلاری را درخواست کرده‌اند.

حمله باج‌افزاری به Compal

باج‌افزار جدید HowAreYou:

باج‌افزار جدیدی مشاهده شده که پسوند .howareyou را به فایل‌های رمزگذاری‌شده اضافه می‌کند.

نسخه‌ی جدیدی از باج‌افزار AgeLocker:

نسخه‌ی جدیدی به نام ELF از باج‌افزار AgeLocker مشاهده شده که دستگاه‌های QNAP را هدف قرار داده و پسوند .kmd را به فایل‌های رمزگذاری‌شده اضافه می‌کند.

باج‌افزار جدید Devos:

باج‌افزار جدیدی مشاهده شده که پسوند .devos را به فایل‌ها اضافه می‌کند. این باج‌افزار با Phobos که از همین پسوند برای فایل‌های رمزگذاری‌شده استفاده می‌کند متفاوت است.

گروه باج‌افزاری برای انتشار تبلیغات با هدف اخاذی یک حساب فیس‌بوک را هک کرد:

یک گروه باج‌افزاری شروع به انتشار تبلیغات فیس‌بوکی کرده است. هدف این گروه از این کار تحت فشار گذاشتن مشتریان برای پرداخت مبلغ باج است.

توقف عملیات‌های شرکت Steelcase، غول صنعت مبلمان، پس از گذشت 2 هفته از حمله‌ی باج‌افزاری:

غول صنعت مبلمان اداری، Steelcase، عنوان کرده که در حمله‌ی صورت‌گرفته به این شرکت با باج‌افزار Ryuk، هیچ اطلاعاتی به سرقت نرفته است. این حمله شرکت Steelcase را مجبور به توقف عملیات‌های بین‌المللی به مدت تقریبا دو هفته کرده است. خبر مربوط به این حمله هفته‌ی دوم آبان‌ماه منتشر شد.

باج‌افزار DarkSide در حال راه‌اندازی یک سرویس نشت داده است:

گروه باج‌افزاری DarkSide ادعا کرده که در حال راه‌اندازی یک سیستم ذخیره‌سازی توزیع‌شده برای ذخیره‌سازی و نشت داده‌های قربانیان خود است. این گروه برای نشان‌دادن جدیت خود، در یک فروم هکری 320 هزار دلار سپرده گذاشته است.

CRAT به‌دنبال غارت اندپوینت‌ها:

اخیرا نسخه‌ی جدیدی از خانواده‌ی بدافزاری CRAT مشاهده شده است. این نسخه حاوی قابلیت‌های مختلف RAT (تروجان دسترسی از راه دور)، اضافه‌کردن پلاگین و مجموعه‌ی متنوعی از تکنیک‌های دورزدن روش‌های شناسایی است. در گذشته بدافزار CRAT به گروه Lazarus نسبت داده شده بود؛ گروهی خرابکار که چندین کمپین حملات سایبری از جمله حملات صورت‌گرفته به شرکت‌های سرگرمی را به راه انداخته است.

طبق شواهد گروه باج‌افزاری LV از نرم‌افزار Revil استفاده می‌کند:

گروه‌ باج‌افزاری به نام «LV» مشاهده شده که از نرم‌افزار REvil استفاده می‌کند.

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد.