باج افزار جف در ماه مه سال 2017 پدیدار شد که روشها و الگوهای موجود در باجافزار لاکی را تقلید میکند. این باج افزار از بات نت نکروس استفاده میکند تا میلیونها ایمیل اسپم را تنها در عرض چند ساعت به نقاط هدف خود در سرتاسر دنیا ارسال کند و به این ترتیب قربانیهای این حمله را مجبور به پرداخت 1.79 بیتکوین که درحالحاضر چیزی بالغبر 6000 دلار است؛ میکند.
باج افزار جف، یکی از جدیدترین انواع باجافزارهاست که بهسرعت در حال رشد بوده و در اردیبهشت 1396 سراسر جهان را فرا گرفته است. به نظر میرسد که عملکرد آن در واقعیت چیزی بسیار فراتر از رمزگذاری اطلاعات است.
محققان با تحلیل نوع جدیدی از باج افزارهای جف، کشف کردند که این نوع باج افزار، فضای سرور را با یک وبسایت مربوط به جرائم سایبری به اشتراک میگذارد.
آسیب باج افزار جف از طریق یک PDF مخرب وارد میشود. به این صورت که با باز شدن pdf کاربر وادار به کلیک بر یک فایل اضافی میشود، درحالیکه در واقعیت، عملیات ویروسی شدن فایلها در حال انجام است.
محققان با پیگیری مسیرها و تحلیل عمیقتر زیرساختهای جرائم سایبری، درنهایت به فروشگاههای اینترنتی که به دهها هزار حساب بانکی دسترسی دارند، به همراه جزئیات مربوط به ماندهحساب، موقعیت مکانی و آدرس ایمیلهای مرتبط، رسیدند.
هکرهای مخرب میتوانند از بیت کوین برای خرید کارتهای اعتباری سرقت شدهای که به بعضی از آنها قبلاً رسیدگی شده، استفاده کنند و حسابهای تجاری پیپال (Paypal) ، آمازون، ای.بای (eBay) و بسیاری دیگر را به خطر بیاندازند.
قیمت هر مورد، از کمتر از یک دلار تا چندین بیتکوین متفاوت است.
دسترسی به بازارها شامل فرایند ارزیابی نمیشود و موانع برای جلوگیری از ورود عاملان مخرب، بسیار کم هستند.
علاوه بر این، هر فروشگاه شامل فیلترهایی است که خریدار میتواند اهداف خود را با بیشترین میزان سودآوری پیدا کند. به عنوان مثال، تصویر زیر نشان میدهد که حسابهای مسروقه از بانک ASB نیوزلند، درمجموع به فروشگاه $275،241 برای تسویه پرداخت کردهاند.
بانکهایی از سراسر جهان فهرست شدهاند، ازجمله مؤسسات مالی آلمان، ایالاتمتحده و استرالیا. بالاترین حجم تسویهحساب، متعلق به کشورهای: ایالات متحده آمریکا، آلمان، فرانسه، اسپانیا، کانادا، استرالیا، ایتالیا و نیوزیلند میباشد.
انواع حسابهای کاربری که شامل اطلاعات مالی میباشند، کاربرانی که خرید اینترنتی خود را از فروشگاههایی نظیر فروشگاه اپل، Bed Bath & Beyond، Barnes & Noble، Best Buy، Booking.com، Asos.com و بسیاری دیگر از پورتالهای تجارت الکترونیک انجام میدهند، میتوانند قربانی کلاهبرداریهای اینترنتی یا سایر فعالیتهای مخرب شوند.
این بدان معنا نیست که آن وبگاههای خاص به خطر افتادهاند. مجرمان سایبری از روشهای گسترده و از تاکتیکهای خاصی برای دسترسی به حسابهای قربانیان استفاده میکنند، آنها اغلب این کار را با تمرکز بر باز کردن رمز عبورهای ضعیف و یا رمز عبورهای مجدد انجام میدهند.
هکرهای کلاه سیاه نه تنها اطلاعات مالی را از این حسابها برداشت میکنند، بلکه از آنها برای خرید نیز استفاده میکنند.
دادههای کارت اعتباری همچنان یکی از رایجترین کالاها در اقتصاد بدافزاری هستند، چراکه دسترسی آسان به پول نقد را فراهم کرده و مجرمان اینترنتی میتوانند آنها را به بیت کوینهای غیر قابلکشف تبدیل کنند.
سرور مورد استفاده مجرمان سایبری برای این عملیات، سرور 5.101.66 [.] 85 است که در سن پترزبورگ روسیه قرار دارد. این سرور، حملاتی از باج افزار جف را که در سرتاسر اروپا و سایر نقاط جهان فراگیر شده است پشتیبانی میکند.
فروشگاههای مجرمان سایبری از سرورهای زیر استفاده میکنند:
http://paysell[.]info
http://paysell[.]net
http://paysell[.]me
http://paysell[.]bz
http://paysell[.]org
http://paysell[.]ws
و شبکه TOR:
paysellzh4l5lso7[.]onion
این کشف، بار دیگر نشان میدهد که مجرمان سایبری بر استفاده از ابزارها و روشهای متنوع برای افزایش درآمد و سودجویی خود متمرکز هستند تا بتوانند نقش مؤثرتری در تخریب اقتصاد ایفا کنند.
همانطور که میدانیم حملات باج افزاری برای رمزنگاری دادهها هرگز متوقف نمیشوند و تا جایی که ممکن است این نوع حملات، اطلاعاتی را در مورد قربانی به دست میآورند.
علاوه بر این، برخی از بزرگترین افشاهای اطلاعاتی در سالهای گذشته (Target، Home Depot، TJX Companies، و غیره) اطلاعات کارتهای پرداختی را هدف قرار دادهاند، که این اعتبارات و دادههای به سرقت رفته، دائماً به بازار سیاه برای خرید و فروش داده میشوند.
مزیت اطلاعاتی که هکرهای کلاهسیاه، مایل به داشتن آن هستند، این است که آنها میتوانند اطلاعات به دست آورده را در زمانی مناسب وارد بازی کنند.
با ترکیب این اطلاعات و دادههای مفید، مجرمان سایبری درگیر دو عملکرد طولانی برای کسب درآمد از اطلاعات کارت ربودهشده و همینطور برداشت سریع از آن همانند حملات باجافزاری هدفمند هستند.
این دو مدل حمله باهم نیز میتوانند اتفاق بیفتند، “افشای اطلاعات” و بعد از آن “حملات باج افزارها” ؛ حملاتی که مقابله با آنها برای شرکتها کابوسی وحشتناک است.
بهترین راه محافظت در برابر این حملاتی مانند باجافزار جف، برای شرکتها و کاربران خانگی بهطور یکسان، حفظ امنیتی پایدار همراه با گذراندن دورههای آموزشی امنیت سایبری است.