هشدار مرکز ماهر در خصوص انتشار گسترده نسخه چهارم باج‌افزار GandCrab در سطح کشور

امتیاز کاربران

ستاره فعالستاره فعالستاره فعالستاره فعالستاره فعال
 

هشدار مرکز ماهر در خصوص انتشار گسترده نسخه چهارم باج‌افزار GandCrab در سطح کشور
q904
مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه‌ای (ماهر) با انتشار اطلاعیه‌ای نسبت به انتشار گسترده نسخه چهارم باج افزار مخرب GandCrab در سطح کشور هشدار داده است.
متن اطلاعیه به شرح زیر است:
آمار گزارش های رسیده و نتایج امدادهای انجام گرفته حاکی از گسترش حملات باج افزاری نسخه چهارم باج افزار خطرناک ‫GandCrab به کاربران در سراسر کشور می باشد. این باج افزار روش های گوناگونی از نفوذ به سیستم از جمله ضعف در پیکربندی سرویس ‫RDP و پیوست هرزنامه ها و اکسپلویت کیت ها را در حملات خود استفاده می‌کند و لازم است مدیران فناوری اطلاعات ادارات و شرکت‌ها آمادگی پیشگیری و مقابله با این باج افزار را حفظ نمایند. شایان ذکر است که این باج افزار از ابتدای پیدایش خود تا کنون 4 نسخه متفاوت داشته و در سطح جهانی نیز خسارت‌های بسیاری ایجاد نموده است.
تحلیل‌های انجام گرفته تاکنون در فضای سایبری کشور حاکی از آن است که بیشتر قربانیان از طریق ضعف در تنظیمات پروتکل RDP به این باج‌افزار مبتلا شده‌اند، این در حالی است که مواردی از آلوده‌شدن در اثر دیگر روش‌های نفوذ از جمله پیام‌های جعلی و اکسپلویت‌کیت موسوم به FallOut نیز مشاهده شده است.
به مدیران و کارشناسان فناوری اطلاعات توصیه اکید می‌شود که در تهیه و نگهدای نسخ پشتیبان از اطلاعات و تنظیمات، دقت مضاعف داشته باشند، از به روز بودن سیستم‌های عامل و نرم افزارها به خصوص آنتی ویروس به طور مستمر اطمینان حاصل نمایند و همچنین تا جای ممکن از کاربرد پروتکل‌های دسترسی از راه دور چون RDP پرهیز نموده و در غیر این صورت با تمهیدات اضافه چون احراز هویت دو مرحله‌ای ضریب اطمینان در این ارتباطات را افزایش دهند.
از آنجا که در مورد این بد افزار و برخی نمونه‌های دیگر، به وفور کاربرد ارسال ایمیل‌های جعلی برای به دام انداختن کاربران ناآگاه به عنوان شگرد حمله مشاهده شده است، به روز نگاه داشتن آنتی اسپم سازمانی و آگاه سازی مستمر کاربران از مخاطرات پیام‌های جعلی اقداماتی درخور توجه می‌باشند.
لازم به ذکر است پیش‌تر نیز شرکت امنیتی فایرآی در خصوص انتشار GandCrab از طریق بسته بهره‌جوی جدید FallOut هشدار داده بود که جزییات آن در ذیل قابل مطالعه است.
انتشار باج‌افزار مخرب GandCrab از طریق بسته بهره‌جوی Fallout
q905
شرکت امنیتی فایرآی در گزارشی از انتشار باج‌افزار معروف GandCrab از طریق بسته بهره‌جوی جدید Fallout خبر داده است.
Fallout نخستین بار حدود دو هفته قبل توسط یک محقق امنیتی شناسایی شد. این بسته بهره‌جو، از آسیب‌پذیری CVE-2018-8174 در بخش مدیریت‌کننده کدهای VBScript و از آسیب‌پذیری CVE-2018-4878 در محصول Adobe Flash Player سواستفاده کرده و کد مخرب مورد نظر مهاجمان را بر روی دستگاه قربانی به‌صورت از راه دور نصب و اجرا می‌کند.
مهاجمان معمولا بسته‌های بهره‌جو را در سایت‌های با محتوای جذاب یا سایت‌های معتبر هک شده تزریق می‌کنند تا از این طریق در زمان مراجعه کاربر به سایت از آسیب‌پذیری‌های موجود در سیستم عامل و نرم‌افزارهای نصب شده بر روی دستگاه سواستفاده شود.
Fallout در ابتدا تلاش می‌کند تا از آسیب‌پذیری VBScript بهره‌جویی کند. در صورت آسیب‌پذیر نبودن آن (به دلیل نصب بودن اصلاحیه مربوطه) و یا غیرفعال بودن VBScript به سراغ بهره‌جوی دوم به منظور سواستفاده از نرم‌افزار Flash Player می‌رود.
در صورت موفقیت‌آمیز بودن فرآیند بهره‌جویی، یک اسب تروا بر روی دستگاه نصب می‌شود. یکی از وظایف این اسب تروا بررسی وجود هر یک از پروسه‌های زیر است:
vmwareuser.exe
vmwareservice.exe
vboxservice.exe
vboxtray.exe
Sandboxiedcomlaunch.exe
procmon.exe
regmon.exe
filemon.exe
wireshark.exe
netmon.exe
vmtoolsd.exe
از آنجا که پروسه‌های مذکور معمولا توسط تحلیلگران بدافزار مورد استفاده قرار می‌گیرند، در صورت مشاهده هر یک از آنها، اسب تروا وارد یک Loop بی‌پایان شده و عملا هیچ اقدام مخربی را از خود بروز نمی‌دهد. در غیر این صورت یک فایل DLL دریافت شده و باج‌افزار GandCrab بر روی دستگاه نصب می‌شود.
در نسخه استفاده شده در این کارزار، پسوند KRAB به فایل‌های رمزگذاری شده الصاق شده و در ازای آن چه که نویسندگان GandCrab فراهم نمودن ابزار رمزگشایی فایل‌ها می‌خوانند مبلغ 499 دلار از قربانی اخاذی می‌شود.
q906
با توجه به این که بسته بهره‌جوی Fallout صرفا بر روی دستگاه‌های با سیستم عامل Windows قابل اجراست، مهاجمان کارزار اخیر آن دسته از مراجعه‌کنندگان به سایت حاوی بهره‌جو را که سیستم عامل آنها MacOS است به صفحه‌ای دیگر هدایت کرده و در آن کاربر تشویق به دریافت فایلی در ظاهر یک نرم‌افزار ضدویروس و یا نرم‌افزار Flash Player می‌گردد. با دریافت و نصب هر یک از فایل‌های جعلی مذکور، دستگاه به GandCrab آلوده می‌شود.
q907
q908

توضیح این که نمونه‌های اشاره شده در گزارش فایرآی با نام‌های زیر قابل شناسایی هستند:

ESET:
   – Win32/Filecoder.GandCrab.A
(http://www.virusradar.com/en/Win32_Filecoder.GandCrab.A/description)

KASPERSKY:
   – Trojan.Win32.Jorik.sbs

FORTINET:
 – W32/Gandcrab.IV!tr

 – W32/GandCrypt.CHT!tr 

  –W32/Filecoder_GandCrab.D!tr


(https://www.fortinet.com/blog/threat-research/gandcrab-v4-1-ransomware-and-the-speculated-smb-exploit-spreader.html)
مشروح گزارش فایرآی در لینک زیر قابل دریافت و مطالعه است:
https://www.fireeye.com/blog/threat-research/2018/09/fallout-exploit-kit-used-in-malvertising-campaign-to-deliver-gandcrab-ransomware.html
همچون همیشه، برای ایمن ماندن از گزند باج‌افزارها، رعایت موارد زیر توصیه می‌شود:
 از ضدویروس قدرتمند و به‌روز استفاده کنید.
 از اطلاعات سازمانی به‌صورت دوره‌ای نسخه پشتیبان تهیه کنید. پیروی از قاعده ۱-۲-۳ برای داده‌های حیاتی توصیه می‌شود. بر طبق این قاعده، از هر فایل سه نسخه می‌بایست نگهداری شود (یکی اصلی و دو نسخه بعنوان پشتیبان). فایل‌ها باید بر روی دو رسانه ذخیره‌سازی مختلف نگهداری شوند. یک نسخه از فایل‌ها می‌‌بایست در یک موقعیت جغرافیایی متفاوت نگهداری شود.
 از نصب فوری آخرین اصلاحیه‌های امنیتی اطمینان حاصل کنید.
 به دلیل انتشار برخی از باج‌افزارها از طریق سوءاستفاده از قابلیت Dynamic Data Exchange در Office، با استفاده ازرهنما های اعلام شده نسبت به پیکربندی صحیح آن اقدام کنید.
 با توجه به انتشار بخش قابل توجهی از باج‌افزارها از طریق فایل‌های نرم‌افزار Office حاوی ماکروی مخرب، تنظیمات امنیتی ماکرو را بنحو مناسب پیکربندی کنید.
 ایمیل‌های دارای پیوست ماکرو را در درگاه شبکه مسدود کنید. بدین منظور می‌توانید از تجهیزات دیواره آتش، همچون FORTINET بهره بگیرید.
 آموزش و راهنمایی کاربران سازمان به صرف‌نظر کردن از فایل‌های مشکوک و باز نکردن آنها می‌تواند نقشی مؤثر در پیشگیری از اجرا شدن این فایل‌ها داشته باشد.
 سازمان را در برابر باج افزارهای مبتنی بر پودمان RDP ایمن نگاه دارید.
 از ابزارهای موسوم به بررسی کننده سایت استفاده شود.
 دسترسی به پوشه‌های اشتراکی در حداقل سطح ممکن قرار داده شود.
 سطح دسترسی کاربران را محدود کنید. بدین ترتیب حتی در صورت اجرا شدن فایل مخرب توسط کاربر، دستگاه به باج‌افزار آلوده نمی‌شود.