info[at]nsec.ir
(+۹۸)-۳۱-۳۳۹۱۵۳۳۶

‌باج‌افزار‌‌‌ در هفته‌ای که گذشت: هفته سوم آبان – باج‌گیری خشن!

خلاصه: ‌استفاده از تکنیک‌های جدید اخاذی و توزیع بدافزار توسط تبلیغات فیس‌بوک از خبرهای مهم هفته سوم آبان در دنیای باج‌افزار‌ها بود. در این هفته خبر رسید که یک باج‌افزار که به هکرهای ایرانی نسبت داده می‌شود در حال ایجاد یک سیستم ذخیره اطلاعات توزیع شده است.

 

در این هفته حملات باج‌افزاری بزرگ و شناخته شده چندان زیاد رخ نداد؛ اما باج‌افزارها از تاکتیک‌های جدیدی برای اخاذی از قربانیان استفاده کردند.

بزرگترین حمله این هفته علیه شرکت سازنده لپ‌تاپ تایوانی Compal رخ داد که باج‌افزار DoppelPaymer به آن حمله کرده است. عاملان حمله ۱۷ میلیون دلار برای دادن رمزگشا و درز نکردن پرونده‌های سرقت شده مطالبه کردند.

همچنین در این هفته کمپین‌های باج‌افزاری از تاكتیك‌های جدیدی برای تحت فشار قرار دادن قربانیان خود برای پرداخت باج استفاده نموده‌اند.

Ragnar Locker پس از حمله به Campari، یک حساب تبلیغاتی فیس‌بوک را هک کرد تا از تبلیغات فیس‌بوک برای تبلیغ حملات باج‌افزار و تهدید به انتشار اطلاعات استفاده کند. استراتژی آن‌ها این است که از طریق آگاهی عمومی هرچه بیشتر بتوانند بر قربانی فشار وارد کنند، به این امید که آن‌ها مجبور به پرداخت باج شوند.

تاکتیک جدید دیگر از سوی DarkSide اعلام شده است که برنامه های آن‌ها برای ایجاد یک سرویس ذخیره‌سازی توزیع شده با تحمل خطا است که در خارج از ایران قرار دارد. هدف آن‌ها استفاده از این فضای ذخیره‌سازی به عنوان بستری برای فاش کردن اطلاعات قربانیان به مدت شش ماه است و به دلیل ماهیت توزیع شده آن، اگر یک سرور توسط مراجع قانونی خاموش شود، سرورهای دیگر همچنان قادر به درز اطلاعات هستند.

به جز این خبر‌ها، نسخه‌های جدیدی از باج‌افزارهای موجود منتشر شد.

شنبه ۱۷ آبان (۷ نوامبر)

چگونگی دریافت باج ۳۴ میلیون دلاری از قربانیان

یک گروه هکری با استفاده از باج‌افزار Ryuk شرکت‌های پرطرفدار را مورد حمله قرار داده است که یکی از قربانیان باج ۳۴ میلیون دلاری را برای دریافت کلید رمزگشا پرداخت کرده است.

دو‌شنبه ۱۹ آبان (۹ نوامبر)

نصب Cobalt Strike با استفاده از به‌روزرسانی جعلی مایکروسافت تیم

اپراتورهای باج‌افزار از تبلیغات جعلی مخرب برای به‌روزرسانی مایکروسافت تیم و آلوده کردن سیستم‌هایی با درپشتی استفاده می‌کنند و Cobalt Strike را برای برای به خطر انداختن شبکه نصب می‌کند.

نسخه جدید باج‌افزار STOP

مایکل گیلسپی یک نسخه جدید از باج‌افزار STOP کشف کرده که پسوند agho. را به فایل‌های رمزشده اضافه می‌کند.

نسخه جدید باج‌افزار Dusk 2

یک نسخه جدید از باج‌افزار Dusk 2 یافت شده که پسوند DUSK. را به فایل‌های رمزشده اضافه می‌کند و متن باج‌خواهی را در README.txt قرار می‌دهد.

حمله به سازنده لب‌تا‍پ Compal و درخواست باج ۱۷ میلیون دلاری

شرکت سازنده لپ‌تاپ تایوانی Compal Electronics در آخر هفته با حمله باج‌افزار DoppelPaymer روبرو شد و مهاجمان تقاضای تقریبا ۱۷ میلیون دلار باج کرده‌اند.

سه‌شنبه ۲۰ آبان (۱۰ نوامبر)

باج‌افزار جدید HowAreYou

یک باج‌افزار جدید که پسوند .howareyou را به فایل‌های رمزشده می‌کند، یافت شده است.

نسخه جدید باج‌افزار AgeLocker

باج‌افزار جدید AgeLocker ELF که دستگاه‌های QNAP را مورد حمله قرار داده است پسوند .kmd را به فایل‌های رمزشده اضافه می‌کند.

چهار‌شنبه ۲۱ آبان (۱۱ نوامبر)

باج‌افزار جدید Devos

یک باج‌افزار جدید که پسوند .devos را اضافه‌ می‌کند یافت شده است. این متفاوت از Phobos است که از این پسوند نیز استفاده کرده است.

هک حساب فیس‌بوک برای اجرای تبلیغات اخاذی

یک گروه باج‌افزار برای تحت فشار قرار دادن قربانیان برای پرداخت باج، از تبلیغات در فیس‌بوک استفاده کرده است.

پنج‌شنبه ۲۲ آبان (۱۲ نوامبر)

حمله باج‌افزار به غول مبلمان اداری Steelcase و  تعطیلی دو هفته‌ای

غول مبلمان اداری Steelcase می‌گوید که هیچ اطلاعاتی هنگام حمله باج‌افزار Ryuk  به سرقت نرفته است که آن‌ها مجبور شوند فعالیات‌های جهانی خود را به مدت دو هفته تعطیل کنند.

جمعه ۲۳ آبان (۱۳ نوامبر)

باج افزار DarkSide در حال ایجاد سرویس امن نشت اطلاعات در ایران است

باج‌افزارDarkSide  ادعا می‌کند که آن‌ها در حال ایجاد یک سیستم ذخیره‌سازی توزیع شده در ایران برای ذخیره و نشت اطلاعات سرقت شده از قربانیان هستند. باند باج‌افزار برای نشان دادن تجارت خود، ۳۲۰ هزار دلار در یک انجمن هکری سپرده‌گذاری کرده‌اند.

خدمات بهداشت جهانی، سیستم‌های بیمارستان را پس از حمله باج‌افزار Ryuk بازیابی کرد

نسخه جدیدی از خانواده بدافزار CRAT یافت شده است این نسخه از چندین قابلیت RAT، پلاگین‌های اضافی و انواع تکنیک‌های جلوگیری از تشخیص تشکیل شده است. در گذشته، CRAT به گروه Lazarus نسبت داده شده بود و در چندین فعالیت سایبری، از جمله حمله علیه بخش سرگرمی حضور داشته است.

نسخه جدید باج‌افزار STOP

مایکل گیلسپی یک نسخه جدید از باج‌افزار STOP کشف کرده که پسوند vvoa. را به فایل‌های رمزشده اضافه می‌کند.

استفاده گروه باج‌افزار LV از نرم‌افزار REvil

مایکل گیلسپی یک گروه باج‌افزار به نام "LV" کشف کرده که از نرم‌افزار REvil می‌کند.

 

در صورتی که دچار حمله باج‌افزاری شدید، می‌توانید از راهنمایی‌های تیم کارشناسان مرکز تخصصی آپا بهره‌مند شوید.

در صورت نیاز با info@nsec.ir یا ۰۳۱۳۳۹۱۵۳۳۶ تماس بگیرید.

 

    

مطالب مرتبط