اخبار باج‌افزار در هفته‌ای که گذشت: توقف فعالیت Maze | هفته‌ی سوم آبان

اخبار باج افزار ها

در هفته‌ی گذشته حملات باج‌افزاری فراوانی در سراسر دنیا صورت گرفت. به‌علاوه یکی از بزرگ‌ترین عملیات‌های باج‌افزاری به طور رسمی توقف فعالیت خود را اعلام کرد.

هفته‌ی گذشته با بیانیه‌ی رسمی از سوی عملیات باج‌افزاری معروف Maze شروع شد؛ گردانندگان این باج‌افزار در این بیانیه اعلام کردند که فعالیت خود را پایان داده‌اند. آن‌‌طور که به نظر می‌رسد بسیاری از افراد و گروه‌هایی که با این گروه همکاری داشته‌اند در حال مهاجرت به یک عملیات باج‌افزاری جدیدتر موسوم به Egregor هستند.

هم‌چنین باج‌افزار جدیدی به نام RegretLocker مشاهده شده که از APIهای Windows Virtual Storage برای mountکردن هارددیسک‌های ماشین‌های مجازی (VHD) استفاده می‌کند و از این طریق تمام فایل‌های موجود در آن‌ها را به صورت جداگانه رمزگذاری می‌کند.

در نهایت حملاتی به شرکت بازی‌سازی Capcom، شرکت نوشیدنی‌های الکلی Campari و یک حمله‌ی با مقیاس گسترده به شبکه‌های دولت برزیل مشاهده شده‌ است.  

در ادامه مهم‌ترین اخبار دنیای باج‌افزار در هفته‌ی گذشته را به ترتیب زمانی مرور خواهیم کرد.

پایان فعالیت عملیات باج‌افزاری Maze، انکار وجود کارتل سازنده:

باند باج‌افزاری معروف Maze امروز اعلام کرد که به طور رسمی به عملیات باج‌افزاری خود پایان داده است. این باند هم‌چنین اعلام کرد که داده‌ی دیگری از شرکت‌ها روی وبسایت آن‌ها منتشر نخواهد شد. این باند باج‌افزاری در این بیانیه وجود کارتل Maze را انکار کرده و عنوان داشته که تیم Maze هیچ‌گونه همکار یا جانشینی نداشته و نخواهد داشت.

بیانیه باج افزار Maze

نسخه‌ی جدیدی از باج‌افزار Jigsaw:

نسخه‌ی جدیدی از باج‌افزار Jigsaw مشاهده شده که پسوند .evil را به فایل‌ها اضافه می‌کند.

شرکت پیشرو صنعت ساخت اسباب‌بازی، Mattel، متحمل حمله‌ی باج‌افزاری شد:

غول صنعت ساخت اسباب‌بازی، Mattel، اعلام کرد که در ماه جولای هدف یک حمله‌ی باج‌افزاری قرار گرفته که برخی از عملیات‌های سازمانی این شرکت را با اختلال مواجه کرده است. این شرکت اعلام کرده که این حمله منجر به سرقت داده‌ها نشده است.

باج‌افزار جدید RegretLocker ماشین‌های مجازی ویندوزی را هدف قرار می‌دهد:

یک باج‌افزار جدید به نام RegretLocker مشاهده شده که از امکانات پیشرفته‌ی متنوعی استفاده می‌کند. این امکانات این باج‌افزار را قادر می‌کنند که هارددرایوهای مجازی را رمزگذاری کرده و فایل‌های باز را ببندد تا بتواند آن‌ها را رمزگذاری کند.

باج افزار regretlocker

23 پرونده‌ی دادخواهی گروهی علیه Blackbaud به خاطر حملات باج‌افزاری:

شرکت بزرگ تولیدکننده‌ی نرم‌افزار، Blackbaud به خاطر حملات باج‌افزاری صورت‌گرفته به این شرکت در ماه می 2020، در 23 پرونده‌ی گروهی در آمریکا و کانادا مورد پیگیری قضایی قرار گرفت. خبر مربوط به حمله به این شرکت را می‌توانید در این شماره از اخبار دنیای باج‌افزار بخوانید.

باندهای باج‌افزاری همیشه پس از پرداخت مبلغ باج داده‌های به‌سرقت‌رفته را حذف نمی‌کنند:

روزبه‌روز بیشتر مشاهده می‌شود که باندهای باج‌افزاری به وعده‌ی خود عمل نکرده و پس از پرداخت مبلغ باج توسط قربانی، داده‌های به‌سرقت‌رفته را پاک نمی‌کنند.

ادامه‌ی روند افزایشی مبلغ درخواستی توسط باج‌افزارها با رواج استخراج داده، افول Maze:

گزارش سه‌ماهه‌ی Coveware از باج‌افزارها، روش‌های رایج واکنش به حوادث باج‌افزاری طی سه‌ماهه‌ی سوم 2020 را تشریح می‌کند. باندهای باج‌افزاری هم‌چنان از استخراج داده به عنوان یک تاکتیک اخاذی بهره می‌برند. این در حالی است که اعتماد به باندهای باج‌افزاری برای حذف داده پس از پرداخت مبلغ باج در حال کم‌شدن است. این مساله به خاطر این است که تعداد مواردی که پس از پرداخت مبلغ باج توسط قربانی داده‌های به‌سرقت‌رفته به صورت عمومی منتشر می‌شوند، روندی افزایشی داشته است. Coveware مشاهده کرده که در سه‌ماهه‌ی سوم 2020 گروه Maze به تدریج به فعالیت‌های خود پایان داده‌اند و گروه‌هایی که به طور فعال از این باج‌افزار استفاده می‌کرده‌اند در حال مهاجرت به Egregor (یکی از نسخه‌های Maze) هستند. علاوه بر این بازگشت باند اصلی گرداننده‌ی باج‌افزار Ryuk مشاهده شده است. این گروه از پایان سه‌ماهه‌ی اول 2020 فعالیتی نداشت.

خرید بدافزار KPOT توسط باند باج‌‎افزاری REvil:

باند باج‌افزاری REvil که ادعا کرده بود 100 میلیون دلار درآمد داشته، سورس‌کد تروجان مخصوص سرقت اطلاعات موسوم به KPOT را به مبلغ 6500 دلار خریداری کرده است.

نسخه‌ی جدیدی از باج‌افزار STOP:

نسخه‌ی جدیدی از باج‌افزار STOP مشاهده شده که پسوند .vpsh را به فایل‌های رمزگذاری‌شده اضافه می‌کند.

تغییر نام Lock2Bits به LuckyDay:

باج‌افزار Lock2Bits نام خود را به LuckDay تغییر داده است. این باج‌افزار از پسوند .luckyday استفاده کرده و یادداشتی با نام File Recovery.txt برای درخواست باج از خود به جا می‌گذارد.

باج افزار luckyday

نسخه‌ی جدیدی از باج‌افزار DCRTR:

نسخه‌ی جدیدی از باج‌افزار DCRTR مشاهده شده که پسوند .termit را به فایل‌های رمزگذاری‌شده اضافه می‌کند.

نسخه‌ی جدیدی از باج‌افزار GlobeImposter:

نسخه‌ی 2 از باج‌افزار GlobeImpster مشاهده شده که پسوند .CC4H را به فایل‌ها اضافه می‌کند.

باج‌افزار جدید و عجیب بلغارستانی:

باج‌افزار جدیدی مشاهده شده که پسوند طولانی و عجیب .pethya zaplat zasifrovano.pethya zaplat zasifrovano.pethya zaplat zasifrovano  را به فایل‌ها اضافه می‌کند.

باج افزار عجیب بلغارستانی

حمله‌ی باج‌افزار Ragnar Locker به Capcom، سرقت 1 ترابایت اطلاعات:

شرکت بازی‌سازی ژاپنی Capcom متحمل یک حمله‌ی باج‌افزاری شده است. عاملان این حمله ادعا کرده‌اند که 1 ترابایت از داده‌های حساس مربوط به شبکه‌های سازمانی این شرکت در آمریکا، ژاپن و کانادا را به سرقت برده‌اند.

حمله‌ی باج‌افزار Ragnar Locker به شرکت Campari، درخواست مبلغ 15 میلیون دلار:

شرکت ایتالیایی تولیدکننده‌ی نوشیدنی‌های الکلی، Campari Group، توسط Ragnar Locker مورد حمله قرار گرفته و به ادعای عاملان حمله 2 ترابایت فایل رمزگذاری‌نشده در این حمله به سرقت رفته است. باند Ragnar Locker برای بازگردانی فایل‌ها، 15 میلیون دلار باج از این شرکت خواسته است.

حمله‌ای گسترده از سوی باج‌افزار  RansomExx به سیستم دادگاهی برزیل:

دادگاه عالی برزیل روز سه‌شنبه، زمانی که جلسات دادخواهی از طریق کنفرانس ویدئویی در حال انجام بودند، هدف حمله‌ی باج‌افزاری قرار گرفت.

تغییر نام بدافزار سرقت اطلاعات Babax به Osno، نصب Root Kit جدید:

بدافزار Babax نه‌تنها نام خود را تغییر داده، بلکه روت‌کیت Ring 3 و امکانات مخصوص انتشار در شبکه را نیز به قابلیت‌های خود اضافه کرده است. علاوه بر این، این بدافزار به یک بخش باج‌افزاری به نام OsnoLocker نیز مجهز شده است. تلفیق این امکانات و قابلیت‌ها می‌تواند به‌شدت خطرناک باشد.

باج‌افزار جدید Tripoli:

باج‌افزار جدیدی به نام Tripoli مشاهده شده که پسوند .crypted را به فایل‌ها اضافه کرده و یادداشتی با نام HOW_FIX_FILES.htm برای درخواست باج از خود به جا می‌گذارد.

باج‌افزار جدید LockDown:

باج‌افزار جدیدی به نام LockDown مشاهده شده که پسوند .sext را به فایل‌ها اضافه کرده و یادداشتی با نام HELP_DECRYPT_YOUR_FILES.txt برای درخواست باج از خود به جا می‌گذارد.

نسخه‌‌ی جدیدی از باج‌افزار Vaca:

نسخه‌ی جدیدی از باج‌افزار Vaca مشاهده شده که پسوند .locked3dllkierff را به فایل‌ها اضافه می‌کند.

کشف با‌ج‌افزار جدید Beiguo MBRLocker:

باج‌افزار جدیدی به نام MBRLocker مشاهده شده که «برپایه‌ی Beiguo» ساخته شده است.

باج افزار mbrlocker

باج‌افزار جدید Pay2Key شبکه‌ها را ظرف یک ساعت رمزگذاری می‌کند:

باج‌افزار جدیدی به نام Pay2Key در حال هدف قرار دادن سازمان‌های مختلف در برزیل و رژیم صهیونیستی است. این باج‌افزار طی حملات هدفمند شبکه‌های سازمانی را ظرف یک ساعت رمزگذاری می‌کند. تحقیقات روی حملات این باج‌افزار در حال انجام است.

باج افزار pay2key

باج‌افزار RansomExx سیستم‌های لینوکسی را هم رمزگذاری می‌کند:

با افزایش استفاده از محیط‌های ترکیبی از سرورهای ویندوزی و لینوکسی توسط شرکت‌ها، عملیات‌های باج‌افزاری به طور فزاینده‌ای شروع به ساختن نسخه‌های لینوکسی از بدافزارهای خود کرده‌اند تا مطمئن شوند تمام داده‌های حیاتی رمزگذاری شوند.

نسخه‌ی جدید ZIMBA از باج‌افزار Dharma:

نسخه‌ی جدیدی از باج‌افزار Dharma مشاهده شده که پسوند .zimba را به فایل‌های رمزگذاری‌شده اضافه می‌کند.

باج‌افزار جدید RexCrypt:

باج‌افزار جدیدی به نام RexCrypt مشاهده شده که پسوند .RexCrypt را به فایل‌ها اضافه کرده و یادداشتی با نام How-To-Decrypt-My-Files.hta برای درخواست باج از خود به جا می‌گذارد.

نسخه‌ی جدید Fusion از باج‌افزار Nefilim:

نسخه‌ی جدیدی از باج‌افزار Nefilim مشاهده شده که پسوند .FUSION را به فایل‌ها اضافه کرده و یادداشتی با نام FUSION-README.txt برای درخواست باج از خود به جا می‌گذارد.

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد.