‌باج‌افزار‌‌‌ در هفته‌ای که گذشت: هفته سوم دی ماه – اکنون باج‌افزار + نشت داده!

خلاصه: باج‌افزار‌ها در حال تغییر و یا شاید تکامل هستند و با تغییر روش‌های حمله و انتخاب هوشمندانه‌تر اهداف خود، تلاش در افزایش درآمد خود دارند. اکنون که باج‌افزارها غیر از رمزگذاری فایل‌ها، آن‌ها را نیز به سرقت می‌برند باید روش برخورد با حملات باج‌افزاری را تغییر داد.

 

در این هفته ما شاهد حمله اپراتورهای باج‌افزار‌های جدید به سازمان‌ها، انتشار داده‌های سرقت شده و تایید حمله سایبری به Travelex توسط باج‌افزار Sodinokibi بودیم.

جدیدا باج‌افزار‌ها استراتژی متفاوتی را در پیش گرفته و  اپراتورهای باج‌افزار یک شرکت را هدف قرار می‌دهند و قبل از رمزگذاری رایانه‌ها، اطلاعات را سرقت می‌کنند که این یک کار جدید است و شرکت‌ها نیاز به ایجاد تغییرات در نحوه واکنش به این دسته از حملات دارند.

به جای پنهان کردن حملات باج‌افزاری، قربانیان باید شفاف باشند و مانند افشای اطلاعات با آن‌ها برخورد کرده و نهادهای قانونی و کاربران را در جریان حملات باج‌افزاری قرار دهند.

این حملات فقط بر شرکتی که رمزگذاری شده است تأثیر نمی‌گذارد بلکه بر مشتریان و کارمندانی که اطلاعات شخصی آن‌ها به سرقت رفته است، تاثیرگذار است.

مسئله‌ی انتشار اطلاعات در صورت عدم پرداخت باج بیشتر توسط باج‌افزار Sodinokibi مطرح می‌شود و هم‌چنین نسخه‌های جدید باج‌افزارهای Ako و Snake کل شبکه‌ها را به جای رایانه‌های شخصی هدف قرار می‌دهند.

بدتر از آن این است که اکسپلویت عمومی برای آسیب‌پذیری Citrix ADC ‪(Netscaler)‬  با شناسه CVE-2019-19781 منتشر شده است و انتظار داریم که موج جدیدی از حملات باج‌افزاری که با این آسیب‌پذیری‌ها هماهنگ است، مشاهده شود.

‌‌شنبه ۱۴ دی (۴ ژانویه)

باج‌افزار جدید Erica Encoder

یک باج‌افزار جدیدی به نام Erica Encoder پیدا شده که از پسوند تصادفی استفاده می‌کند و متن باج‌خواهی را در فایل متنی  HOW TO RESTORE ENCRYPTED FILES.TXT قرار می‌دهد.

نسخه جدید crypton باج‌افزار Aurora

یک نسخه جدیدی از باج‌افزار Aurora کشف شده که پسوند .crypton را اضافه می‌کند و متن باج‌خواهی را در _@FILES_WERE_ENCRYPTED_@.TXT، _@HOW_TO_PAY_THE_RANSOM_@.TXT و _@HOW_TO_DECRYPT_FILES_@.TXT قرار می‌دهند.

‌‌دو‌شنبه ۱۶ دی (۶ ژانویه)

حمله‌ی باج‌افزار Sodinokibi به شرکت Travelex و درخواست سه میلیون دلار

بیش از شش روز از زمان حمله سایبری به سرویس‌های بین‌المللی تبادل ارز خارجی به شرکت‌ Travelex می‌گذرد و BleepingComputer قادر به تایید آلوده شدن سیستم‌های این شرکت توسط باج‌افزار Sodinokibi است.

به‌روزرسانی رمزگشای باج‌افزار Aurora

رمزگشای باج‌افزار برای Aurora با پسوند .crypton به‌روزرسانی شد.

باج‌افزار جدید SatanCryptor

یک باج‌افزار جدیدی به نام SatanCryptor پیدا شده که پسوند .satan را به فایل‌های رمزگذاری شده اضافه می‌کند و متن باج‌خواهی را در  SATAN CRYPTOR #.hta# قرار می‌دهد.

باج‌افزار جدید Somik1

یک باج‌افزار جدیدی به نام Somik1 پیدا شده که که به نظر می رسد در حال توسعه است.

سه‌شنبه ۱۷ دی (۷ ژانویه)

باج‌افزار جدید Deniz_kizi

یک باج‌افزار جدید با پسوند .Deniz_kizi به فایل‌های رمزگذاری شده اضافه می‌کند و متن باج‌خواهی را در  Please Read Me!!!.hta قرار می‌دهد.

چهار‌شنبه ۱۸ دی (۸ ژانویه)

باج‌افزار SNAKE به عنوان تهدید بعدی برای هدف قرار دادن شبکه های تجاری است

مدیران شبکه اکنون باید نگران باج‌افزار جدیدی به نام SNAKE باشند که شبکه‌ها را هدف قرار داده و قصد رمزگذاری همه دستگاه‌های متصل به آن را دارد.

نسخه جدید DarkCrypt باج‌افزار WannaCryFake

یک نسخه جدیدی از باج‌افزار WannaCryFake کشف شده که آن‌ها را DarkCrypt می‌نامند و متن باج‌خواهی را در README.txt قرار می‌دهد.

باج‌افزار Roll Safe

یک باج‌افزار جدیدی کشف شده که پسوند .encrypted را اضافه می‌کند.

باج‌افزار M461c14n R4n50m3w473

یک باج‌افزار جدید به نام M461c14n R4n50m3w473 کشف شده است.

پنج‌شنبه ۱۹ دی (۹ ژانویه)

باج‌افزار Sodinokibi می‌گوید که شرکت Travelex یا باج را پرداخت می‌نماید یا مجبور می‌شود!

حمله‌کنندگان پشت باج‌افزار Sodinokibi در حال اعمال فشار بر شرکت Travelex است تا یک باج چند میلیون دلاری بدهند، در غیر این‌صورت اعلام کرده‌اند که اطلاعات دزدیده شده که شامل اطلاعات شخصی مشتریان می‌باشد را منتشر می‌کنند.

باج‌افزار جدید Quimera

یک باج‌افزار جدید به نام Quimera کشف شده است.

نسخه جدید باج‌افزار Kangaroo

یک نسخه جدید از باج‌افزار Kangaroo کشف شده که پسوند .missing‌ را به فایل‌های رمزشده اضافه می‌کند.

باج‌افزار جدید BitPyLock

یک باج‌افزار جدید به نام BitPyLock کشف شده که پسوند .bitpy را به فایل‌های رمزشده اضافه می‌کند و متن با‌خواهی را در HELP_TO_DECRYPT_YOUR_FILES #.html # قرار می‌دهد.

جمعه ۲۰ دی (۱۰ ژانویه)

باج‌افزار Ako و حملات به شرکت‌ها

هر روز به تعداد باج‌افزارهایی که شرکت‌ها و تجارت‌ها را مورد حمله قرار می‌دهند در جال افزایش است؛ زیرا این چشم‌انداز را دارند که می‌توانند از شرکت‌ها باج‌های میلیون دلاری درخواست کنند. به عنوان مثال باج‌افزاری با نام Ako به جای حمله به کامپیوتر‌های فردی همه شبکه را مورد حمله قرار می‌دهد.

باج‌افزار Sodinokibi به سیستم‌های فرودگاه نیویورک حمله کرده است.

کارکنان فرودگاه بین‌المللی آلبانی اعلام کردند که در پی حمله سایبری که در طول کریسمس رخ داده، سرورهای اداری فرودگاه نیویورک توسط  باج‌افزارSodinokibi  مورد حمله قرار گرفتند.

باج‌افزار Maze، 14 گیگابایت پرونده‌های سرقت شده Southwire را منتشر می‌کند

اپراتورهای باج‌افزار Maze بیش از ۱۴ گیگابایت از پرونده‌های دزدیده شده را منتشر کرده‌اند که آن‌ها مدعی شده‌اند به دلیل عدم پرداخت باج توسط یکی از قربانیانی که اطلاعات آن دزدیده شده بود، انتشار کرده‌‌اند.

نسخه جدید inchin باج‌افزار Scarab

یک نسخه جدیدی از باج‌افزار Scarab کشف شده که پسوند inchin. را به فایل‌های رمزشده اضافه می‌کند و متن باج‌خواهی را در RECOVER.TXT قرار می‌دهد.

باج‌افزار جدید Lion

باج‌افزاری جدید به نام lion کشف شده که در BlackHeart مستقراست.

 

در صورتی که دچار حمله باج‌افزاری شدید، می‌توانید از راهنمایی‌های تیم کارشناسان مرکز تخصصی آپا بهره‌مند شوید.

در صورت نیاز با info@nsec.ir یا ۰۳۱۳۳۹۱۵۳۳۶ تماس بگیرید.