تهدیدات

موج جدیدی از حملات باج‌ افزار پتیا سراسر دنیا را فرا گرفت

این باج افزار از بردارهای حمله چندگانه (multiple attack vectors) استفاده می‌کند و از طریق بدافزار کوکتل (malware cocktail) تا آنجا که ممکن است به رمزگذاری و سرقت اطلاعات محرمانه می‌پردازد

باج‌ افزار پتیا در ژوئن ۲۰۱۷ شرکت­‌های بسیاری را در سرتاسر جهان تحت تاثیر قرار داد، محققان امنیت سایبری و دیگر گروه‌­ها اعم از Kaspersky، Palo Alto Networks، Malwarebytes و McAfee گزارش داده‌­اند این ­نسل از باج‌­افزارها، که گمان برده می‌شود پتیا باشند (Petya.A ، Petya.D و یا PetrWrap) با حملاتی تقریباً مشابه با حملات باج افزار واناکرای به‌سرعت در حال گسترش است. این شباهت به این دلیل است که این نوع از بدافزار، از آسیب‌پذیری اترنال بلو (EternalBlue)  برای آلوده کردن رایانه‌­ها استفاده می‌کند و می‌تواند خود را تکثیر کند.

تفاوت باج‌ افزار پتیا با دیگر باج افزارها در این است که از بردارهای حمله چندگانه (multiple attack vectors) استفاده می‌کند و از طریق بدافزار کوکتل (malware cocktail) تا آنجا که ممکن است به رمزگذاری و سرقت اطلاعات محرمانه می‌پردازد.

بدافزار کوکتل (malware cocktail):

شروع کار این باج افزار با تخریب وب‌سایت‌های معتبر از طریق تزریق اسکریپت‌های مخرب است که تبادلات فرد را به یک درگاه سربر (cerber) به نام Pseudo Darkl‌eech منتقل می‌کند که نوعی آلودگی بدافزاری است و برای ایجاد لایه‌ای تیره، و کاهش احتمال ردیابی تولید شده است.

اسکریپت مخربی که به این وب‌سایت‌ها تزریق می‌شود از نوع بارگیر بدافزار نموکد (Nemucod) است که برای دانلود کردن و راه‌اندازی باج افزارها بکار می‌رود. مهاجمان برای آلوده کردن کاربران نا آگاه از نقاط آسیب‌پذیر در Internet Explorer, Microsoft Edge, Flash Player و Silverlight استفاده می‌کنند.

چگونه حمله توسط باج افزار پتیا رخ می‌دهد؟

باج افزار پتیا در سال ۲۰۱۶ پدیدار شد و برخلاف سایر باج افزارها، تنها فایل‌ها را رمزگذاری نمی‌­کند، بلکه به دلیل اینکه از سیستم‌عامل کوچک خود به‌جای ویندوز استفاده می‌کند، می‌تواند ساختارهای حیاتی سیستم کامپیوتر را در صورت راه‌اندازی مجدد آن بر روی دیسک بوت رمزنگاری کند. این باج افزار رکورد راه‌انداز اصلی (MBR) را رونویسی کرده و رمزگذاری می‌نماید.

رکورد راه‌انداز اصلی (Master Boot Record) به‌صورت اختصاری (MBR) مهم‌ترین برنامه‌ برای راه‌اندازی سیستم‌عامل است که در قسمتی از حافظه ذخیره‌سازی داده پارتیشن‌بندی شده مثل هارد دیسک، SSD، فلش درایوها و… قرار گرفته و وظیفه حفظ اطلاعات مربوط به پارتیشن‌ها و بالا آوردن هسته سیستم‌عامل به‌صورت غیرمستقیم را بر عهده دارد.

در هنگام پارتیشن‌بندی حافظه ساخته شده و یک برنامه خوانده می‌شود چرا که دارای دستوراتی برای اجراست تا از این طریق بتواند سیستم‌عامل را بوت کند.

کل کدهای MBR فقط ۵۱۲ بایت می‌باشند که به‌صورت قراردادی، در اولین سکتور از حافظه (که معمولاً سکتور شماره ۰ خوانده می‌شود) قرار می‌گیرند. با توجه به این‌که یک سکتور معمولاً دارای ۵۱۲ بایت حافظه ذخیره‌سازی است، با قرار گرفتن MBR به‌صورت کامل پر می‌شود.

یکی از روش­‌های استفاده‌شده برای گسترش و توزیع این باج افزار، بهره‌­برداری از آسیب­‌پذیری MS17-010 است، که به‌عنوان آسیب‌پذیری اترنال بلو نیز شناخته می‌شود، و توسط آژانس امنیت ملی ایالات متحده ساخته شده است. این روش برای آلوده شدن نیاز به هیچ داده ورودی از جانب کاربر ندارد.

اگر رایانه‌­ای دارید که به اینترنت متصل است و سیستم‌عامل شما به‌روزرسانی نشده، شما می‌توانید قربانی بعدی باشید.

این نوع باج افزار از طریق ایمیل‌های هرزنامه‌ای نیز کاربران اینترنتی را هدف قرار می‌دهد هنوز هم این روش جواب می‌دهد، چون‌که این ایمیل‌ها آرشیو فشرده‌ای از برنامه‌های مخرب بانام  “inmyguy.xls.hta“ را در خود دارند.

اگر قربانی، آرشیو را باز کند، کد مخرب به‌طور خودکار فعال می‌شود که منجر به دانلود مؤلفه‌های اصلی آلودگی می‌شوند:

 APPDATA%] \ 10807.exe%]

این کد باینری دارای یک تائیدیه جعلی از مایکروسافت است.

دومین موج حملات هرزنامه‌ای از طریق یک الحاقی مخرب دیگر با نام “Order-20062017.doc“ وارد می‌شود و از آسیب‌پذیری (CVE-2017-0199 (CVSS score: 9.3 سوءاستفاده کرده و فایل را از لینک زیر دانلود می‌کند.

http:// 84.200.16 [.] ۲۴۲ / myguy.xls

این بردار حمله، خود را درون چندین فرایند سیستمی تزریق می‌کند و داده‌ها را به‌صورت محلی رمزگذاری می‌کند. در همین زمان، به سایر رایانه‌های دیگر متصل به شبکه محلی نیز منتشر می‌شود.

این آلودگی باج افزاری­، متأسفانه تنها نیست. لاکی­بات (LokiBOT) نیز از این دامنه، به رایانه‌های آلوده شده به این باج افزار وارد می‌شود.

LokiBOT یک بدافزار تجاری است که در سایت‌های غیرقانونی فروخته می‌شود و برای سرقت اطلاعات خصوصی از دستگاه‌های آلوده طراحی شده، پس از آن اطلاعات را در اختیار یک هاست کنترل و فرمان از طریق HTTP POST قرار می‌دهد. این اطلاعات خصوصی شامل پسوردهای ذخیره شده، اطلاعات ورود به حساب از مرورگرهای وب و انواعی از کیف پول‌های ارز دیجیتال (‌cryptocurrency wallets) است.

کسانی که قبلاً به این‌گونه باج افزارها آلوده شده‌اند حتماً یک پیام باج­‌گیری را مانند تصویر زیر بر روی صفحه‌نمایش کامپیوترشان دریافت کرده‌اند که از آن‌ها تقاضای باجی معادل ۳۰۰ دلار بیت کوین، می‌کند.

 لاکی­بات (LokiBOT)

چه کسانی از طریق این باج افزار آسیب دیده‌اند؟

خبر بد این‌که، این باج افزار تاکنون آسیب‌های بسیاری وارد آورده، به‌ طوری ‌که رایانه‌ها و داده‌های حساس بسیاری از شرکت‌ها و سازمان‌های مهم رمزگذاری شده است.

باج افزار پتیا بیشتر اروپا و اوکراین را هدف قرار داده است، به شکلی که بخش‌های مختلف دولتی، بانک‌ها، بیمارستان‌ها، سامانه‌های مترو و فرودگاه کیی­و (kiev)، مرکز تأمین انرژی Ukrenergo، بانک مرکزی، حتی نیروگاه هسته‌ای از کار افتاده‌ چرنوبیل (Chernobyl)‌، سایر بنگاه‌­های بزرگ مانند Maersk، غول حمل و نقل دانمارک یعنی AP Moller-Maersk، شرکت نفتی Rosneftروسیه و Evraz را درگیر کرده است.

این باج افزار بنگاه‌­های تبلیغاتی، WPP، شرکت غذایی Mondelez، یا شرکت مصالح ساختمانی Saint-Gobain در فرانسه و سایر بنگاه‌های خصوصی و عمومی در سراسر اروپا و سایر نقاط جهان را قربانی خود کرد.

به‌روزرسانی ۱۳ جولای، ۲۰۱۷

به نظر می‌رسد داستان حمله ” باج افزار پتیا” تقریباً تمام شده است.

سازنده اصلی باج افزار پتیا ژانوس (Janus) شاه‌کلید رمزگشایی آن را در توییتر و به میزبانی سرویس mega.nz منتشر کرده که به قربانیان این بدافزار امکان بازیابی فایل‌های قفل‌شده را می‌دهد. البته پتیا را نباید با NotPetya که اخیراً بحرانی بین‌المللی به وجود آورده بود، اشتباه گرفت.

باج افزار پتیا

آنتون ایوانف (Anton Ivanov)، تحلیل­گر ارشد بدافزار در کسپرسکی این کلید را با موفقیت آزمایش کرد و تائید کرد که این کلید برای تمام انواع پتیا از جمله گلدن‌آی (GoldenEye) کار می‌کند.

باج‌افزار گلدن‌آی (Goldeneye):

اخیراً نسخه‌ جدیدی از باج‌افزار Petya ظاهر شده که نام آن باج افزار Goldeneye است. محققان امنیتی گفته‌اند که در مقایسه با بدافزار اصلی تفاوت زیادی در این باج‌افزار ایجاد نشده است. این باج افزار پرونده‌های کاربران را رمزنگاری نمی‌کند بلکه با ویرایش در پرونده‌ رکورد راه‌انداز اصلی (MBR) در یک فرآیند دو مرحله‌ای، دسترسی به کل هارد دیسک را غیرممکن می‌سازد.

باج‌افزار گلدن‌آی (Goldeneye)

دو ماه بعد نیز سازندگان این بدافزار تصمیم گرفتند تا آن را با یک باج‌افزار دیگر به نام بدافزار Mischa بسته‌بندی کنند. باج‌افزار جدید زمانی که عملیات Petya با شکست مواجه می‌شود، عملیات خود را شروع می‌کند.

شرکت Malwarebytes اعلام کرد که سازنده بدافزار پتیا، “ژانوس”، در حملات اخیر در اوکراین که در آن شرکت‌های بسیار، بانک‌ها، بیمارستان‌ها و دولت به‌ وسیله حمله سایبری آسیب دیدند، دخالتی نداشته است.

ویرایش بعدی [۲۹ ژوئن، ۱ بعد از ظهر EEST]

۱۵ روز پیش یعنی ۱۰ بهمن ماه ۱۳۹۶ سه مورد حمله مشابه به حمله پتیا رخ داد که آن را گلدن‌آی نامیدند. چیزی که باید بدانید این است:

نخست، محقق امنیت سایبری آمیت سرپر (Amit Serper) واکسنی بر علیه حملات اخیر کشف کرد، که می‌توانید با دنبال کردن گام‌هایی که در این مقاله مشخص شده، از آن بهره‌مند شوید.

البته، این اقدامی پیشگیرانه است و برای کاربرانی که دانش تکنیکی اندکی در این زمینه دارند، محدودیت ایجاد می‌کند. اگر می‌خواهید از این واکسن بهره گیرید و مطمئن نیستید که آن را به‌درستی انجام می‌دهید، بهترین راه این است که از افراد متخصص در این زمینه، کمک بگیرید.

دوم، مهاجمانی که ایمیل‌هایی را به صندوق پستی کاربران ارسال می‌کنند، آدرس ایمیل‌های مربوط به جزئیات باج پرداختی از سوی قربانیان را به حالت تعلیق در می‌آورند. در نتیجه، قربانی یعنی کسی که باج را می‌پردازد(هرگز توصیه نمی‌کنیم باج را بپردازید) نمی‌تواند داده‌های خود را بازگرداند. شما می‌توانید جزئیات بیشتر در رابطه با این پست را در  BleepingComputer مطالعه کنید.

و سوم، محققان امنیتی از این حقیقت رونمایی کردند که این نوع از پتیا در حقیقت یک باج افزار نیست، بلکه یک بدافزار پاک‌کننده (Wiper malware) است.

طبق اظهارات پژوهشگر مت سویچ ( Matt Suiche):

هدف بدافزار پاک­‌کننده، نابودی و خرابی است. هدف باج افزار پول‌سازی است. نیت­‌های مختلف دارند و روایت‌های گوناگون.

شاید با خود فکر کنید که چرا در آنالیزهای ابتدایی، شواهدی در رابطه با این بدافزار به دست نیامد. حقیقت این است که بدافزار­های نسل دوم از جمله این نمونه، بسیار پیچیده هستند، قربانی و محققان سایبری را سردرگم می‌کنند و خود در بعد جهانی در حال گسترش هستند.
این اولین نمونه از تهدیدات بسیاری است که وارد شده، و ما را باز هم متوجه حفاظت پیشگیرانه و نقش اساسی آن در آینده می‌کند.

حالا چه می‌توانید انجام دهید

اول از همه، وحشت نکنید! شاید شبیه یک کابوس به نظر بیاید، اما لازم است آرامش خود را حفظ کنید، آمادگی آن را داشته باشید و تمام اقدامات لازم را انجام دهید تا ایمن بمانید و از داده‌های خود حفاظت کنید.

در اینجا مواردی ذکر شده که به کاربران پیشنهاد می‌شود آن‌ها را انجام دهند:

  • اطلاعات حساس خود را تنها روی رایانه­تان نگهداری نکنید و مطمئن شوید که حداقل ۲ پشتیبان از داده‌هایتان بر روی منابع خارجی مانند دیسک سخت یا فضای ابری (Google Drive ، Dropbox و غیره) دارید.
  • به‌روزرسانی، به‌روزرسانی و باز هم به‌روزرسانی کنید! لازم است تا جدیدترین آپدیت‌ها را برای نرم‌افزارهایتان دانلود کنید، از همه مهم‌تر سیستم‌عامل خود.
  • سعی کنید هر روز از حساب مدیریتی (administrator account) استفاده نکنید و فراموش نکنید که ماکروهای درون بسته مایکروسافت آفیس را غیرفعال کنید.
  • هرگز، هرزنامه‌ها و پیام‌های ایمیل دانلود شده از منابع نامطمئن را باز نکنید چرا که می‌توانند دستگاه شما را آلوده کنند. علاوه بر این، بر روی لینک‌های مشکوک کلیک نکنید.
  • مطمئن شوید که از یک آنتی‌ویروس که مبلغی را برای به روز رسانی آن پرداخت کرده‌اید استفاده می­کنید، یا از محصولات امنیتی پیشگیرانه استفاده کنید (بررسی کنید Heimdal PRO چه کارهایی می‌تواند انجام دهد).
  • بیاموزید که چگونه حملات فیشینگ مجرمان سایبری را شناسایی کنید.
  • حذف پلاگین­های ریسک‌پذیر از مرورگری که استفاده می­کنید میتواند اقدامی مفید باشد: Adobe Flash، Adobe Reader، Java and Silverlight..
  • اگر شما یک شرکت هستید- خواه کوچک یا بزرگ – ممکن است اهمیت ایمن نگه‌داشتن داده‌ها را دانسته باشید.

متأسفانه حملات سایبری این روزها مرتب اتفاق می­افتند و هشیار بودن و ایمن نگه‌داشتن شرکت در فضای اینترنتی حیاتی است.

بنابراین، به خاطر داشته باشید باید هر آنچه از تدابیر امنیتی را که لازم است برای حفاظت از کسب‌وکارتان فراهم کنید. اولویت اول در این زمینه حصول اطمینان از نصب آنتی‌ویروس بر روی سرورها و به‌روزرسانی همیشگی سیستم‌عامل‌هایتان است.

لطفاً توجه داشته باشید که اقدام مهم امنیتی دیگر این است که به‌طور مرتب از داده­هایتان پشتیبان بگیرید و رمز ورودهای جداگانه­ای برای هر سرور و دستگاه مدیریت (administrator) استفاده کنید. ما به‌شدت توصیه می‌کنیم اطلاعات بیشتری در زمینه حفاظت از نقاط پایانی (endpoint) در شبکه‌های کسب‌وکار و همین‌طور امنیت اطلاعات حیاتی، کسب کنید.

لازم است تا کاربران و شرکت­ها، هر دو به متقابلاً درک کنند که امنیت سایبری تنها در مورد وقوع تهدیدات بزرگ نیست و این تهدیدات در اولین صفحات ورود به اینترنت نیز می‌توانند جای گرفته باشند.

نمایش بیشتر

نوشته های مشابه

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

هجده − 13 =

دکمه بازگشت به بالا