گسترش جهانی باج‌افزار Sorebrect

امتیاز کاربران

ستاره غیر فعالستاره غیر فعالستاره غیر فعالستاره غیر فعالستاره غیر فعال
 

محققان امنیتی باج‌افزار خودتخریب بدون پرونده‌Sorebrectرا شناسایی کرده‌اند که کدهای مخرب را در داخل پردازه‌های قانونی بر روی ماشین هدف تزریق می‌کند.

در‌حالی‌که شاهد هستیم روش‌های جدیدی برای حملات سایبری مورد استفاده قرار می‌گیرند، ولی بردارهای حمله‌ سنتی نیز رفته‌رفته در تلاش هستند تا عملیات خود را مخفی‌تر کرده و راهکارهای امنیتی را دور بزنند.

محققان امنیتی اخیراً باج‌افزار بدون پرونده‌ جدیدی را با نامSorebrectشناسایی کرده‌اند که کدهای مخرب را در داخل پردازه‌های قانونی بر روی ماشین هدف تزریق می‌کند و برای فرار از روش‌های تشخیص بدافزار، دارای قابلیت خود تخریبی نیز هست. برخلاف باج‌افزارهای سنتی، بدافزارSorebrectبرای هدف قرار دادن کارگزارها و نقاط انتهایی در سازمان‌ها طراحی شده‌است. کدی که در داخل پردازه‌ها تزریق شده‌است در ادامه رمزنگاری پرونده‌های محلی و هر اطلاعاتی را که در سطح شبکه به اشتراک گذاشته شده‌است، آغاز می‌کند.

این باج‌افزار بدون پرونده ابتدا با استفاده از حملات جست‌وجوی فراگیر و یا با راه‌های دیگری، گواهی‌نامه‌های مدیریتی را آلوده می‌کند و در اختیار می‌گیرد و در ادامه با استفاده از ابزار خط فرمانSysinternals PsExecمایکروسافت، رمزنگاری پرونده‌ها را شروع می‌کند.

محققان ترندمیکرو گفتند: «ابزارPsExecنفوذگران را قادر می‌سازد تا دستورات اجرایی را از راه دور اجرا کنند به‌جای اینکه در یک نشست آماده و تعاملی اطلاعات ورود را ارائه کرده و دستورات را اجرا کنند. با استفاده از این ابزار، همچنین لازم نیست با استفاده از پروتکل‌هایی مانندRDPپرونده‌های بدافزار را به‌طور دستی به ماشین قربانی منتقل کرد

باج‌افزارSorebrectپرونده‌های به اشتراک‌گذاشته‌شده در سطح شبکه را نیز رمزنگاری می‌کند. این باج‌افزار رایانه‌های موجود در سطح شبکه‌ محلی را نیز پویش می‌کند و اگر پرونده‌ای پیدا کرد که در سطح شبکه به اشتراک گذاشته شده‌باشد، آنها را نیز رمزنگاری می‌کند. این باج‌افزار در ادامه تمامی رکوردهای ثبت‌شده از رویدادهای رایانه را حذف می‌کند تا در آینده فرآیند جرم‌شناسی و تشخیص عملیات بدافزار مشکل شود. همچنین باج‌افزارSorebrectمانند بقیه‌ی بدافزارها برای گمنامی ارتباطات خود با کارگزار دستور و کنترل از شبکه‌یTorبهره می‌برد.

باج‌افزارSorebrectبرای هدف قرار دادن شرکت‌های مختلف در حوزه‌های صنعت، فناوری و ارتباطات و مخابرات طراحی شده‌است. به گفته‌ محققان امنیتی از شرکت ترندمیکرو، این باج‌افزار کشورهای خاورمیانه ازجمله کویت و لبنان را هدف قرار داده‌است، اما از ماه گذشته این تهدید آغاز به آلوده کردن سامانه‌ها در کشورهایی مانند چین، کانادا، ایتالیا، ژاپن، مکزیک، روسیه، تایوان و آمریکا کرده‌است.

این نخستین‌بار نیست که محققان امنیتی شاهد بدافزارهای بدون پرونده هستند. دو ماه قبل محققان تالوس حملاتDNSMessengerرا شناسایی کردند که از هیچ پرونده‌ای استفاده نکرده‌بود و برای آلوده کردن دستگاه هدف از پیام‌هایDNS TXTبهره می‌برد. در ماه فوریه نیز محققان امنیتی از شرکت کسپرسکی بدافزار بدون پرونده‌ای را شناسایی کردند که خود را در داخل حافظه‌ ماشین آلوده مخفی می‌کرد. این بدافزار سعی داشت بانک‌ها، سازمان‌های ارتباطی و مخابراتی و نهادهای دولتی را هدف قرار دهد.

از آنجایی که باج‌افزارها فقط افراد را هدف قرار نمی‌دهند و به سازمان‌ها نیز حمله می‌کنند، مدیران سامانه‌ها و کارشناسان امنیتی برای حفاظت از سازمان می‌توانند راهکارهای زیر را اجرا کنند.

محدود کردن مجوزهای نوشتن برای کاربران:یکی از معیارهای مهمی که پرونده‌های اشتراکی در سطح شبکه را در معرض حملات باج‌افزار قرار می‌دهد این است که به کاربران تمامی مجوزها اعطا می‌شود.

محدود کردن امتیازات در ابزار PsExec:مجوزهای اجرای ابزارPsExecرا محدود کنید و پیکربندی را طوری انجام دهید که تنها مدیران سامانه‌ها قادر به اجرای این ابزار باشند.

سامانه‌ها و شبکه‌های خود را به‌روز نگه داریدهمواره سیستم‌عامل، نرم‌افزارها و برنامه‌های کاربردی را بر روی سامانه‌ خود به‌روزرسانی کنید.

مرتب از داده‌های خود نسخه‌ پشتیبان تهیه کنید:برای جلوگیری از هرگونه از بین رفتن داده‌ها، یک روال منظم برای تهیه‌ نسخه‌ی پشتیبان از پرونده‌ها و داده‌های مهم خود داشته‌باشید. سعی کنید این نسخه‌ پشتیبان را بر روی یک سامانه‌ خارجی قرار دهید که به‌طور مستقیم به رایانه‌ شما متصل نباشد