انتشار باج‌افزار Kraken Cryptor از طریق بسته بهره‌جوی Fallout

امتیاز کاربران

ستاره فعالستاره فعالستاره فعالستاره فعالستاره فعال
 

انتشار باج‌افزار Kraken Cryptor از طریق بسته بهره‌جوی Fallout

q980 Copy

مهاجمان با بکارگیری بسته بهره‌جوی Fallout در حال انتشار حداقل دو نسخه از باج‌افزار Kraken Cryptor هستند. این در حالی است که تا پیش از این، GandCrab تنها باج‌افزار شناخته شده‌ای بود که از Fallout به‌منظور رخنه به سیستم‌ها و رمزگذاری فایل‌های آنها بهره می‌گرفته است.

Kraken Cryptor از جمله باج‌افزارهایی است که در قالب خدمات موسوم به “باج‌افزار به‌عنوان سرویس” عرضه می‌شود. در خدمات “باج‌افزار به‌عنوان سرویس” (Ransomware-as-a-Service) – به اختصار RaaS -، صاحب باج‌افزار، فایل مخرب را به‌عنوان یک خدمت به متقاضی اجاره می‌دهد. متقاضی که ممکن است در برنامه‌نویسی تخصصی نداشته باشد تنها وظیفه انتشار باج‌افزار را بر عهده دارد. در نهایت بخشی از مبلغ اخاذی شده از قربانی به نویسنده و بخشی دیگر به متقاضی می‌رسد.
با توجه به این سیستم به‌اشتراک‌گذاری، بدیهی است که باج‌افزار در اختیار مهاجمان متعددی است که هر یک از روش‌های خاص و ویژه خود برای انتشار آن استفاده می‌کنند.
برای مثال، ماه گذشته گروهی از این تبهکاران با هک سایت Superantispyware.com، فایل مخرب Kraken Cryptor را در قالب فایل نصاب برنامه امنیتی SuperAntiSpyware منتشر کردند.
اکنون نیز گروهی از مهاجمان از بسته بهره‌جوی Fallout برای انتشار نسخه‌های 1.5 و 1.6 این باج‌افزار استفاده کرده‌اند.
مهاجمان با تزریق کدهای مخرب در سایت‌های هک شده کاربران را در زمان مراجعه به این سایت‌ها به صفحه‌ای هدایت می‌کنند که در آن بسته بهره‌جوی Fallout میزبانی شده است.
q981
به‌محض نصب شدن باج‌افزار، رمزگذاری فایل‌های دستگاه آغاز می‌شود. بر خلاف نمونه‌های پیشین که به فایل‌های رمزگذاری شده، پسوند Lock.onion الصاق می‌شد در این نمونه، نام و پسوند فایل‌های رمزگذاری شده به رشته‌هایی تصادفی تغییر داده می‌شود.
اطلاعیه باج‌گیری این باج‌افزار How to Decrypt Files-[extension].html# نام دارد و در آن از قربانی خواسته می‌شود تا برای دریافت دستورالعمل پرداخت باج از طریق یکی از نشانی‌های زیر با مهاجمان ارتباط برقرار کند:
این آدرس ایمیل توسط spambots حفاظت می شود. برای دیدن شما نیاز به جاوا اسکریپت دارید
این آدرس ایمیل توسط spambots حفاظت می شود. برای دیدن شما نیاز به جاوا اسکریپت دارید
Fallout نخستین بار حدود دو هفته قبل توسط یک محقق امنیتی شناسایی شد. این بسته بهره‌جو، از آسیب‌پذیریCVE-2018-8174 در بخش مدیریت‌کننده کدهای VBScript و از آسیب‌پذیری CVE-2018-4878 در محصول Adobe Flash Player سواستفاده کرده و کد مخرب مورد نظر مهاجمان را بر روی دستگاه قربانی به‌صورت از راه دور نصب و اجرا می‌کند.
همچون همیشه، برای ایمن ماندن از گزند باج‌افزارها، رعایت موارد زیر توصیه می‌شود:
• از ضدویروس قدرتمند و به‌روز استفاده کنید.
ت از اطلاعات سازمانی به‌صورت دوره‌ای نسخه پشتیبان تهیه کنید. پیروی از قاعده ۱-۲-۳ برای داده‌های حیاتی توصیه می‌شود. بر طبق این قاعده، از هر فایل سه نسخه می‌بایست نگهداری شود (یکی اصلی و دو نسخه بعنوان پشتیبان). فایل‌ها باید بر روی دو رسانه ذخیره‌سازی مختلف نگهداری شوند. یک نسخه از فایل‌ها می‌‌بایست در یک موقعیت جغرافیایی متفاوت نگهداری شود.
• از نصب فوری آخرین اصلاحیه‌های امنیتی اطمینان حاصل کنید.
• به دلیل انتشار برخی از باج‌افزارها از طریق سوءاستفاده از قابلیت Dynamic Data Exchange در Office، با استفاده از راهنما های پیشن نسبت به پیکربندی صحیح آن اقدام کنید.
• با توجه به انتشار بخش قابل توجهی از باج‌افزارها از طریق فایل‌های نرم‌افزار Office حاوی ماکروی مخرب، تنظیمات امنیتی ماکرو را بنحو مناسب پیکربندی کنید.
• ایمیل‌های دارای پیوست ماکرو را در درگاه شبکه مسدود کنید. بدین منظور می‌توانید از تجهیزات دیواره آتش، همچون FORINET بهره بگیرید.
• آموزش و راهنمایی کاربران سازمان به صرف‌نظر کردن از فایل‌های مشکوک و باز نکردن آنها می‌تواند نقشی مؤثر در پیشگیری از اجرا شدن این فایل‌ها داشته باشد.
• بستنRDP ,سازمان ها را در برابر باج افزارهای مبتنی بر پودمان RDP ایمن نگاه دارید.
• از ابزارهای موسوم به بررسی کننده سایت استفاده شود.
• دسترسی به پوشه‌های اشتراکی در حداقل سطح ممکن قرار داده شود.
• سطح دسترسی کاربران را محدود کنید. بدین ترتیب حتی در صورت اجرا شدن فایل مخرب توسط کاربر، دستگاه به باج‌افزار آلوده نمی‌شود.