اخبار باج‌افزار در هفته‌ای که گذشت: جشن شکرگزاری در خطر! | هفته‌ی اول آذر

اخبار باج افزار ها

این هفته شاهد دو حمله‌ی عظیم باج‌افزاری بودیم که تاثیر عمیقی روی صنایع تامین مواد غذایی داشتند. علاوه بر این هفته‌ی گذشته شاهد یک نمونه از بمب‌های پرینت آزاردهنده‌ی باج‌افزار Egregor بودیم.

آخر هفته‌ی گذشته، شرکت Cencosud، یکی از غول‌های صنعت خرده‌فروشی در آمریکای لاتین، متحمل یک حمله‌ی باج‌افزاری از سوی باند Egregor شد. این حمله در بسیاری از فروشگاه‌های خرده‌فروشی این شرکت، از جمله سوپرمارکت‌ها و خواروبارفروشی‌های این شرکت دشواری‌های فنی را به همراه داشته است. حین این حمله یک نمونه از تاکتیک آزاردهنده‌ی بمب پرینت Egregor هم مشاهده شد: در این تاکتیک پرینترها یادداشت باج‌خواهی را در تعداد بسیار بالایی چاپ می‌کنند.

شرکت Americold نیز که در زمینه‌ی انبارهای سرد فعالیت می‌کند، طی آخر هفته‌ی گذشته هدف یک حمله‌ی باج‌افزاری قرار گرفت. این حمله باعث مشکلات چشم‌گیری در توزیع محصولات غذایی در سوپرمارکت‌های متعددی در آمریکا شده که از این سردخانه‌ها استفاده می‌کرده‌اند. یکی از مسئولان تدارکات توزیع محصولات غذایی که در تحویل‌گرفتن محموله‌های غذایی با مشکل روبه‌رو شده، اعلام کرده که این حمله در بدترین زمان ممکن رخ داده چرا که شرکت‌های مواد غذایی مشغول آماده‌سازی برای جشن شکرگزاری بوده‌اند.

در نهایت، باند TrickBot از طریق ارسال اسپم‌های پرتعداد، شروع به تبلیغ یک ابزار شناسایی (reconnaissance) سبک‌وزن به نام LightBot کرده است.  این ابزار برای جمع‌آوری اطلاعات راجع به شبکه‌ی قربانی پیش از استقرار احتمالی باج‌افزار به کار می‌رود. این ابزار نیز یکی دیگر از چیزهایی است که طی روزهای آینده باید تدابیر لازم برای مقابله با آن اندیشیده شود.

در ادامه مهم‌ترین اخبار دنیای باج‌افزار در هفته‌ی گذشته را به ترتیب زمانی مرور خواهیم کرد.

حمله‌ی باج‌افزار Egregor به غول صنعت خرده‌فروشی، Cencosud، و اختلال در مغازه‌ها:

شرکت خرده‌فروشی چندملیتی Cencosud که مقر آن در شیلی است، متحمل یک حمله‌ی سایبری از سوی باج‌افزار Egregor شده است. این حمله خدمات مغازه‌های وابسته به این شرکت را با اختلال مواجه کرده است.

نسخه‌ی جدیدی از باج‌افزار STOP Djvu:

نسخه‌ی جدیدی از باج‌افزار STOP Djvu مشاهده شده که پسوند .vvoa را به فایل‌ها اضافه می‌کند.

نسخه‌ی جدیدی از HiddenTear:

نسخه‌ی جدیدی از HiddenTear مشاهده شده که پسوند .ZqVIkE را به فایل‌ها اضافه کرده و یادداشتی با نام @[email protected] برای درخواست باج از خود به جا می‌گذارد.

باج افزار جدید HiddenTear

نگرانی در خصوص تحریم‌های آمریکا با میزبانی سرورهای ایرانی از باج‌افزار DarkSide:

شرکت مذاکره با باندهای باج‌افزاری Coveware، گروه باج‌افزاری DarkSide را در لیست ممنوعیت مذاکره قرار داده است. علت این کار هم این است که عاملان تهدید اعلام کرده بودند که برنامه دارند میزبانی زیرساخت خود را به ایران منتقل کنند. از آن‌جایی که ایران توسط آمریکا تحریم شده، مذاکره با گروه‌هایی که دارای تاسیسات سایبری در ایران هستند ممنوع است. خبر مربوط به این اقدام در هفته‌ی چهارم آبان‌ماه منتشر شده بود. 

نسخه‌ی جدیدی از باج‌افزار VoidCrypt:

نسخه‌ی جدیدی از باج‌افزار VoidCrypt مشاهده شده که پسوند .honor را به فایل‌ها اضافه می‌کند.

باج افزار VoidCrypt

تایید نفوذ اطلاعاتی توسط Capcom پس از سرقت داده‌های کاربران:

غول ژاپنی صنعت بازی‌سازی، Capcom، پس از تایید سرقت اطلاعات حساس مشتریان و کارکنان طی حمله‌ی باج‌افزاری اخیر، نفوذ اطلاعاتی به شبکه‌ی خود را اعلام کرد. خبر مربوط به این حمله در هفته‌ی سوم آبان‌ماه منتشر شده بود. 

همکاری ده‌ها باند باج‌افزاری با هکرها برای اخاذی از قربانیان:

گروه‌های ارائه‌دهنده‌ی باج‌افزار به عنوان سرویس (RaaS) فعالانه به دنبال همدستانی هستند که سود به‌دست‌آمده از حملات باج‌افزاری برون‌سپاری‌شده را که سازمان‌های مهم دولتی و خصوصی را هدف قرار می‌دهند با آن‌ها تقسیم کنند. خبر مربوط به ظهور این سرویس‌های ابری باج‌افزاری در هفته‌ی سوم مهرماه منتشر شده بود. 

اختلال در خدمات‌رسانی توسط Americold، غول صنعت انبار سرد، پس از حمله سایبری:

شرکت Americold که یکی غول‌های صنعت انبارهای غذایی سرد است، در حال حاضر درگیر یک حمله‌ی سایبری شده است که سرویس‌های مختلف آن‌ها، از جمله سیستم‌های تلفنی، ایمیل، انبارداری و ارسال سفارش را با اختلال مواجه کرده است.

نسخه‌ی جدیدی از باج‌افزار STOP Djvu:

نسخه‌ی جدیدی از باج‌افزار STOP Djvu مشاهده شده که پسوند .epor را به فایل‌ها اضافه می‌کند.

نسخه‌ی جدیدی از باج‌افزار Flamingo:

نسخه‌ی جدیدی از باج‌افزار Flamingo مشاهده شده که پسوند .LIZARD را به فایل‌ها اضافه کرده و یادداشتی با نام #READ ME.txt برای درخواست باج به جا می‌گذارد.

شکار باج‌افزار جدید MXX:

یک باج‌افزار ناشناخته‌ی جدید مشاهده شده که پسوند .MXX را به فایل‌ها اضافه کرده و یادداشتی با نام How To Recover Your Files!!!!.txt از خود به جا می‌گذارد.

نسخه‌ی جدیدی از باج‌افزار Phobos:

نسخه‌ی جدیدی از باج‌افزار Phobos مشاهده شده که پسوند .ELDAOLSA را به فایل‌ها اضافه می‌کند.

باج‌افزار جدید Joker:

باج‌افزار جدیدی به نام Joker مشاهده شده که پسوند .joker را به فایل‌ها اضافه کرده و یادداشتی با نام POWER-JOKER-PASSWORD.txt را برای درخواست باج از خود به جا می‌گذارد.

باج افزار joker

نسخه‌های جدید باج‌افزار Dharma:

چندین نسخه‌ی جدید از باج‌افزار Dharma مشاهده شده که پسوندهای .dex ، .sss ، .zimba و .help را به فایل‌ها اضافه می‌کنند.

 رمزگشای نسخه‌های مختلف باج‌افزار Nibiru:

باج‌افزار Nibiru خانواده‌ای بدافزاری مبتنی بر چارچوب .NET است. این باج‌افزار در دایرکتوری‌های موجود روی دیسک‌های محلی حرکت کرده، فایل‌ها را با الگوریتم Rijndael-256 رمزگذاری کرده و به آن‌ها پسوند .Nibiru را اضافه می‌کند. Rijndael-256 یک الگوریتم رمزگذاری ایمن است؛ ولی با این وجود از آن‌جایی که Nibiru در بدنه‌ی اصلی کد خود از رشته حروف “Nibiru” برای محاسبه‌ی کلید 32 بایتی و مقادیر بردارهای اولیه‌ی 16 بایتی استفاده می‌کند، امکان رمزگشایی فایل‌ها به وجود آمده است. برنامه‌ی رمزگشا از این نقطه‌ضعف بهره برده و فایل‌های رمزگذاری‌شده توسط این نسخه را رمزگشایی می‌کند.

نسخه‌ی جدیدی از باج‌افزار Matrix:

نسخه‌ی جدیدی از باج‌افزار Matrix مشاهده شده که پسوند .TG33 را به فایل‌ها اضافه می‌کند.

نسخه‌ی جدیدی از باج‌افزار HiddenTear:

نسخه‌ی جدیدی از باج‌افزار HiddenTear مشاهده شده که پسوند .r2block را به فایل‌ها اضافه می‌کند. یادداشت باج‌خواهی این باج‌افزار به زبان فارسی است:

باج افزار ایرانی HiddenTear

نسخه‌ی جدید باج‌افزار Dharma با پسوند ZIN:

نسخه‌ی جدیدی از باج‌افزار Dharma مشاهده شده که پسوند .ZIN را به فایل‌ها اضافه می‌کند.

باج‌افزار جدید Pulpit:

باج‌افزار جدیدی مشاهده شده که پسوند .pulpit را به فایل‌های رمزگذاری شده اضافه می‌کند.

حمله‌ی باج‌افزار REvil به ارائه‌دهنده سرویس‌ میزبانی وب Managed.com، درخواست باج 500 هزار دلاری:

شرکت ارائه‌دهنده سرویس‌های مدیریت‌شده‌ی میزبانی وب، Managed.com، در تلاش برای بازیابی از حمله‌ی باج‌افزار REvil در آخر هفته‌ی گذشته، سرورها و سیستم‌های میزبانی وب خود را به حالت آفلاین درآورد.

بمباران پرینترهای قربانیان با یادداشت باج‌خواهی توسط باج‌افزار Egregor:

باج‌افزار Egregor از یک روش جدید برای جلب توجه قربانیان پس از حمله استفاده کرده است: این باج‌افزار یادداشت باج‌خواهی خود را از طریق تمام پرینترهای در دسترس چاپ می‌کند.

باج‌افزار جدید Lola:

باج‌افزار جدیدی مشاهده شده که خود را یک بلاک‌چین ژنراتور جا می‌زند و پس از رمزگذاری فایل‌ها پسوند .lola را به آن‌ها افزوده و یادداشتی با نام Please_Read.txt برای درخواست باج از خود به جا می‌گذارد.

هدف قرار گرفتن اظهارنامه‌های مالیاتی TurboTax توسط باج‌افزار Mount Locker:

با شروع فصل پرداخت مالیات در آمریکا، باج‌افزار Mount Locker شروع به هدف قراردادن اظهارنامه‌های مالیاتی ایجادشده توسط TurboTax کرده و آن‌ها را رمزگذاری می‌کند.

نسخه‌ی جدیدی از باج‌افزار STOP Djvu:

نسخه‌ی جدیدی از باج‌افزار STOP Djvu مشاهده شده که پسوند .slgh را به فایل‌ها اضافه می‌کند.

باج‌افزار جدید REDROMAN:

باج‌افزار جدیدی مشاهده شده که پسوند .REDROMAN را به فایل‌ها اضافه کرده و یادداشت‌هایی با نام‌های RR_README.html، OPENTHIS.html و README.html برای درخواست باج از خود به جا می‌گذارد.

همکاری QBot با Egregor در حملات صورت‌گرفته با استفاده از بات:

تروجان بانکی Qbot برای کمک به باج‌افزار Egregor، باج‌افزار ProLock را راه‌اندازی کرده که در ماه سپتامبر فعالیت خود را آغاز کرده است.

LightBot: بدافزار شناسایی جدید TrickBot برای اهداف پرارزش:

باند معروف TrickBot یک ابزار شناسایی (reconnaissance) جدید و سبک‌وزن منتشر کرده که برای وارسی شبکه‌ی آلوده‌شده‌ی قربانی و یافتن اهداف پرارزش استفاده می‌شود.

هشدار FBI مبنی بر افزایش فعالیت باج‌افزار Ragnar Locker:

بخش سایبری سازمان FBI به شرکت‌های فعال در بخش خصوصی نسبت به افزایش فعالیت باج‌افزار Ragnar Locker پس از یک حمله‌ی تاییدشده در آپریل 2020 هشدار داد.

شکار یک باج‌افزار جدید:

باج‌افزار ناشناخته‌ی جدیدی مشاهده شده که پسوند .esexz را به فایل‌ها اضافه کرده و یادداشتی با نام readme.txt برای درخواست باج از خود به جا می‌گذارد.

نسخه‌ی جدید باج‌افزار Dharma با پسوند SWP:

نسخه‌ی جدیدی از باج‌افزار Dharma مشاهده شده که پسوند .SWP را به فایل‌های رمزگذاری‌شده اضافه می‌کند.

حمله‌ی باج‌افزاری به استخرهای شنای زنجیره‌ای Sportfondsen Nederland:

شرکت Sportfondsen Nederland اعلام کرده:«ما در قرنطینه‌ی دو هفته‌ی گذشته شاهد یک اختلال در سیستم‌های IT خود بودیم که ناشی از یک ویروس کامپیوتری (یک باج‌افزار) بوده است. به همین دلیل ارتباط با ما دشوار شده و باید سیستم‌های از کار افتاده را بازیابی کنیم.»

باج‌افزاری با یک پیام مخفی:

باج‌افزاری مشاهده شده که یک پیام مخفی جالب در قالب یک شعر کوتاه در خود دارد.

پیام مخفی باج افزار

حمله‌ی یک باج‌افزار ناشناس به یک بیمارستان:

در هفته‌ی گذشته یک بیمارستان توسط یک باج‌افزار هدف قرار گرفت که جزو هیچ‌کدام از باج‌افزارهای شناخته‌شده نیست و عملکردی کاملا شخصی‌سازی‌شده دارد.

چندین نسخه‌ی جدید از باج‌افزار Dharma:

چندین نسخه‌ی جدید از باج‌افزار Dharma مشاهده شده که پسوند .cvc را به فایل‌ها اضافه می‌کنند.

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد.