اخبار باج‌افزار در هفته‌ای که گذشت: باج‌های سنگین | هفته سوم مهر

اخبار باج افزار ها

باج‌افزارها این هفته هم به فعالیت گسترده‌ی خود ادامه دادند و سازمان‌های معروف فراوانی متحمل حملات سنگین باج‌افزاری شدند.

برجسته‌ترین خبر این هفته حمله باج‌افزار Clop به شرکت Software AG بود. مهاجمان عامل این حمله 23 میلیون دلار باج درخواست کرده‌اند.

هم‌چنین طبق گزارشات، در هفته گذشته یک بیمارستان در نیوجرسی 670 هزار دلار باج پرداخت کرده و منطقه‌ی آموزش و پرورش اسپرینگ‌فیلد نیز مورد حمله‌ی باج‌افزاری قرار گرفته است.

سرورهای RDP (سرورهای مخصوص دسترسی به دسکتاپ از راه دور) را از اینترنت جدا کنید، دستگاه‌های لبه (Edge Device) را به‌روزرسانی کنید، و حواستان به ایمیل‌های فیشینگ باشد. تمام این موارد از راه‌های اصلی مورد استفاده در حملات باج‌افزاری به شمار می‌روند.

در ادامه مهم‌ترین اخبار دنیای باج‌افزار در هفته‌ی گذشته را به ترتیب زمانی مرور خواهیم کرد.

بیمارستانی در نیوجرسی برای جلوگیری از نشت داده‌ها توسط یک باند باج‌افزاری 670 هزار دلار به آن‌ها پرداخت کرد:

بیمارستان دانشگاهی نیوجرسی در نیوآرک ماه گذشته درخواست باج به مبلغ 670 هزار دلار را پرداخت کرد تا از نشت 240 گیگابایت داده‌ی سرقت‌شده که اطلاعات بیماران را نیز شامل می‌شده، جلوگیری کند.

همان‌طور که در هفته‌ی گذشته نیز دیدیم‌، حملات باج‌افزاری به بیمارستان‌ها و مراکز درمانی در زمان همه‌گیری کرونا، مشکلاتی جدی برای این بخش به وجود آورده است. 

نسخه‌ی جدیدی از باج‌افزار Dharma:

نسخه‌ی جدیدی از باج‌افزار Dharma مشاهده شده که پسوند .FLYU را به فایل‌های رمزگذاری‌شده اضافه می‌کند.

واکسن باج‌افزاری جدید برنامه‌هایی را که فایل‌های Shadow Volume در ویندوز را پاک می‌کنند از بین می‌برد:

برنامه‌ی واکسن باج‌افزار جدیدی ساخته شده که پروسس‌هایی را که سعی در حذف کپی‌های Volume Shadow با استفاده از برنامه‌ی vssadmin.exe ویندوز دارند متوقف می‌کند.

نسخه‌ی جدیدی از ویروس Babax دارای ماژول باج‌افزاری:

نسخه‌ی جدیدی از ویروس Babax به نام Osno Stealer مشاهده شده که یک ماژول باج‌افزاری در خود دارد که پسوند .osnoed را به فایل‌ها اضافه می‌کند.

ویروس BABAX

نسخه‌ی جدیدی از باج‌افزار STOP Djvu با نام MOSS:

نسخه‌ی جدیدی از باج‌افزار STOP Djvu مشاهده شده که پسوند .moss را به فایل‌های رمزگذاری‌شده اضافه می‌کند.

نسخه‌ی شخصی‌سازی شده‌ی Petya:

باج‌افزار جدیدی به نام EYECRY مشاهده شده که یک نسخه‌ی شخصی‌سازی‌شده از باج‌افزار/بوت‌لاکر Petya است.

باج افزار eyecry

باج‌افزار جدید SantaCrypt:

باج‌افزار جدیدی مشاهده شده که SantaCrypt نام گرفته و پسوند .$anta را به فایل‌ها اضافه کرده و یادداشتی با نام HOW_TO_RECOVER_MY_FILES.TXT برای درخواست باج به جا می‌گذارد.

رشد انفجاری تهدیدات باج‌افزاری، Ryuk در هر هفته به حدود 20 سازمان حمله می‌کند:

محققان باج‌افزاری که تهدیدات باج‌افزاری را مونیتور می‌کرده‌اند متوجه رشد شدیدی در این حملات در ماه‌های گذشته در مقایسه با شش ماه اول 2020 شده‌اند.

FONIX RaaS | تهدید سطح پایین جدید با پیچیدگی‌های غیرضروی

FONIX RaaS (RaaS به معنی Ransomeware as a Service، یا باج‌افزار به عنوان سرویس) یک سرویس باج‌افزاری است که اخبار مربوط به آن اولین بار در ماه جولای امسال به گوش رسید. با این حال در آن زمان سروصدای چندانی به پا نکرد و حتی الان هم تعداد کمی آلودگی ناشی از این خانواده‌ی باج‌افزاری دیده می‌شود. با این وجود سرویس‌های RaaS یا باج‌افزار به عنوان سرویس که در ابتدای ظهور چندان توجهی به آن‌ها نمی‌شد، در صورتی که مدافعان سایبری و راهکارهای امنیتی نسبت به آن‌ها ناآگاه بمانند، ممکن است به طور ناگهانی فراگیر شوند. نکته‌ی قابل توجه این است که FONIX تا حدودی با بسیاری دیگر از سرویس‌های RaaS که در حال حاضر ارائه شده‌اند تفاوت دارد. تفاوت این سرویس در این است که برای هر فایل از چهار روش رمزگذاری استفاده کرده و چرخه‌ی بازیابی پس از آلودگی به آن در کل پیچیده است.

باج‌افزار جدید Curator:

باج‌افزار جدیدی مشاهده شده که پسوند .CURATOR را به فایل‌ها اضافه کرده و یادداشتی با نام !=HOW_TO_DECRYPT_FILES=!.txt برای درخواست باج از خود به جا می‌گذارد.

باج‌افزار جدید WoodRat:

باج‌افزار جدیدی مشاهده شده که پسوند .woodrat را به فایل‌های رمزگذاری‌شده اضافه می‌کند.

باج افزار woodrat

کشف باج‌افزار اندرویدی جدید به نام Cyber_Splitter:

باج‌افزار اندرویدی جدیدی به نام CyberSplitter مشاهده شده که پسوند .Dcry را به فایل‌ها اضافه کرده و به قربانی 24 ساعت مهلت برای خرید کلید رمزگشایی فایل‌ها می‌دهد.

باج افزار cybersplitter

تعطیلی یک منطقه‌ی آموزش و پرورش در ماساچوست به خاطر حمله‌ی باج‌افزاری:

منطقه‌ی آموزش و پرورش Springfield Public Schools در ایالت ماساچوست قربانی یک حمله‌ی باج‌افزاری شده که منجر به تعطیلی مدارس تا زمان اتمام تحقیقات بر روی این حمله‌ی سایبری شده است.

باند باج‌افزاری در حملات خود شروع به استفاده از یک نقص حیاتی در ویندوز کرده‌اند:

شرکت مایکروسافت هشدار داده که مجرمان سایبری شروع به استفاده از کدهای اکسپلویت مخصوص آسیب‌پذیری ZeroLogon در حملات خود کرده‌اند. این هشدار پس از آن منتشر شد که شرکت مایکروسافت در نیمه‌ی دوم ماه سپتامبر متوجه حملات صورت‌گرفته توسط گروه جاسوسی سایبری به نام MuddyWater شد (که با نام SeedWorm هم شناخته می‌شوند).

حمله‌ی باج‌افزار Clop به غول دنیای IT، شرکت Software AG و درخواست 23 میلیون دلار باج:

باند باج‌افزاری Clop شنبه‌ی گذشته به شبکه‌ی شرکت Software AG، یکی از غول‌های صنعت نرم‌افزار سازمانی در آلمان حمله کردند و پس از سرقت اطلاعات کارکنان و اسناد شرکت درخواست 23 میلیون دلار باج کرده‌اند.

بزرگ‌ترین شرکت اجاره‌دهنده‌ی قایق‌های تفریحی، Carnival، سرقت داده‌های خود توسط باج‌افزار را تایید کرد:

شرکت Carnival، بزرگ‌ترین شرکت اجاره‌دهنده‌ی قایق‌های تفریحی، تایید کرده است که اطلاعات شخصی مشتریان، کارکنان و خدمه‌ی کشتی‌ها طی حمله‌ی باج‌افزاری در ماه آگوست به سرقت رفته است.

نسخه‌های جدیدی از باج‌افزار Dharma:

نسخه‌های جدیدی از باج‌افزار Dharma مشاهده شده که پسوند .gtsc یا .dme را به فایل‌های رمزگذاری‌شده اضافه می‌کنند.

باج‌افزاری جدید در دست توسعه:

باج‌افزار جدیدی مشاهده شده که فرایند توسعه‌ی آن در جریان بوده و پسوند .en را به فایل‌های رمزگذاری‌شده اضافه می‌کند.

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد.