تروجان Rakhni: باج افزاری که عملیات رمزنگاری و ماینینگ را در حملات خود مورد استفاده قرار می دهد!

امتیاز کاربران

ستاره فعالستاره فعالستاره فعالستاره فعالستاره فعال
 

تروجان Rakhni: باج افزاری که عملیات رمزنگاری و ماینینگ را در حملات خود مورد استفاده قرار می دهد!

q742

کسپرسکی :ما به تازگی در یکی از مقالات خود اعلام کردیم که ماینرها در تلاش هستند تا بتوانند جایگاه باج افزارها را به دست گیرند و در بالاترین رتبه ی تهدیدات آنلاین قرار گیرند. با توجه به این روند، باج افزار Rakhni که ما از سال 2013 شاهد آن بوده ایم، ماژول کریپتوکارنسی ماینینگ را به دیگر تهدیدات خود اضافه کرده است. جالب است بدانید که بارگذار کننده ی این بدافزار قادر است انتخاب کند که بر روی کدامین قسمت دستگاه با توجه به نیاز خود نصب شود. محققان امنیتی ما دریافتند که چگونه این بدافزار کار می کند و چه تهدیداتی را به همراه دارد.

راهکارهای امنیتی ما باج افزار Rakhni را در کشورهای روسیه، قزاقستان، اوکراین، آلمان و هندوستان شناسایی کردند. این بدافزار عمدتا از طریق پیوست های مخرب در ایمیل های اسپم توزیع می گردد. یکی از نمونه هایی که متخصصان ما به آن پرداخته بودند یک سند مالی به ظاهر مشروع بود. این موضوع نشان می دهد که مجرمان سایبری اولویت خود را شرکت های بزرگ قرار می دهند.

پیوست مخرب در ایمیل های اسپم شامل یک سند پی دی اف می باشد که اگر به هر دلیلی کاربر برای باز کردن یا ویرایش PDF تلاش کند سیستم درخواستی را برای اجازه ی نصب یک فایل اجرایی از منبعی ناشناخته برای شما ارسال می کند. در نهایت با اجازه ی کاربر باج افزار Rakhni به فعالیت می پردازد.

مثل دزدی در شب...

در ابتدا، فایل مخرب PDF همانند یک سند واقعی و مشروع به نظر می رسد اما لحظه ای بعد بدافزار پیام خطایی را به قربانی نشان می دهد که در آن توضیح می دهد که چرا فایل باز نشده است. سپس بدافزار Windows Defender را غیر فعال می کند و گواهینامه های جعلی را بر روی سیستم نصب می کند.

تنها زمانی همه چیز برای کاربر شفاف سازی می شود که دستگاه آلوده شده باشد، در آن زمان تمامی فایل های کاربر رمزنگاری شده و درخواست باج یا نصب یک ماینر صورت می گیرد.

در نهایت بدافزار تلاش می کند تا به کامپیوترهای دیگر در داخل شبکه ی محلی گسترش یابد. اگر کارمندان یک شرکت به پوشه ی Users در دستگاه های خود دسترسی داشته باشند بدافزار خود را بر روی آن پوشه ها کپی می کند.

ماینینگ یا رمزنگاری؟

معیار انتخاب این بدافزار بسیار ساده است: اگر بدافزار یک فولدر را با نام Bitcoin بر روی سیستم قربانی پیدا کند بخشی از باج افزار را که قادر است فایل ها را که شامل اسناد اداری، فالی های PDF، تصاویر و بک آپ ها را رمزنگاری کند را اجرا می کند و ظرف سه روز به پرداخت باج اقدام می کند. جزئیات مربوط به جبران خسارت و مبلغ آن از طریق ایمیل به دست قربانیان می رسد.

اما اگر هیچ پوشه ای با نام بیت کوین در دستگاه قربانی وجود نداشته باشد، بدافزارها تشخیص می دهند که سیستم توانایی کافی برای پردازش ماینرها را ندارد و بدین ترتیب یک ماینر را به صورت مخفیانه با نام های Monero، Monero Original یا Dashcoin در بک گراند ایجاد می کند.

قربانی این حمله نباشید

برای جلوگیری از قربانی نشدن حمله ی Rakhni و بوجود آمدن آلودگی در شرکت شما به طور جدی مراقب پیام های دریافتی باشید به خصوص آن هایی که از منابع ناشناس دریافت می کنید. اگر در مورد اینکه آیا پیوست ایمیل را باز کنید یا خیر شک دارید، این کار را انجام ندهید. توجه داشته باشید که برنامه ها را از منابع ناشناخته و توسعه دهندگان نامعتبر دریافت نکنید. و در نهایت به توصیه های زیر دقت کنید:

-آموزش های امنیتی لازم را به کارمندان خود بدهید و به طور مکرر آن ها را آپدیت کنید.

-به طور منظم از اطلاعات مهم خود بک آپ گیری کنید و آن ها را در یک حافظه ی جداگانه ذخیره کنید.

-از راهکارهای امن و قابل اعتماد و قوی همانند Kaspersky Endpoint Security for Business استفاده کنید.

-شبکه ی شرکت خود را به طور منظم برای وجود هرگونه آلودگی بررسی نمایید.

-استفاده از فایروال در لبه شبکه .