باج‌افزار Bucbi از طریق حملات جست‌جوی فراگیر RDB گسترش می‌یابد!

محققان شرکت Palo Alto می‌گویند که باج‌افزار Bucbi تهدیدی که در اوایل سال ۲۰۱۴ کشف شده بود، یک به‎روزرسانی قابل توجه دریافت کرده است و اکنون از حملات جست‌جوی فراگیر RDP به عنوان مکانیسم گسترش خود استفاده می‌کند.
این بدافزار معمولاً از طریق یک بارگیری HTTP توسعه می‌یابد (با استفاده از یک کیت بهره‌بردار یا رایانامه فیشینگ) که به تازگی از طریق روش جست‌جوی فراگیر RDB با تکیه بر کارگزار‌های ویندوز متصل به اینترنت (پروتکل دسکتاپ از راه دور) گسترش پیدا می‌کند. همچنین محققان می‌گویند که این باج‌افزار تغییر یافته است و دیگر به اتصال اینترنت نیازی ندارد. محققان در اواخر ماه مارس به این نکته اشاره کرده‌اند که این حملات از طریق پنج آدرس IP انجام می‌شود و نویسندگان این بدافزار از مجموعه‌ای نام‌های کاربری عمومی در تلاش برای ورود به سامانه‌ها استفاده می‌کنند که از جمله‌ی آنها نام‌های کاربری خاص پایانه‌های فروش (PoS) است. بنابراین شرکت پالو آلتو می‌گوید که مهاجمان به دنبال دستگاه‌های PoS بودند اما پس از اینکه متوجه شدند که دستگاه‌های آلوده تراکنش‌های مالی را پردازش نمی‌کنند، تاکتیک خود را تغییر دادند.
پس از اینکه یک دستگاه خاص با موفقیت به خطر افتاد، مهاجمان یک پرونده اجرایی را قرار می‌دهند که محققان دریافته‌اند یک ابزار جستجوی فراگیر RDP به نام «RDP brute» است (با کد z۶۶۸) و این ابزار برای دسترسی به دستگاه قربانی استفاده می‌شود.
در اوایل ماه آوریل، محققان تصادفاً یک نمونه پیدا کردند که دارای دو خط فرمان (CLI) بود /install و /uninstall . هنگامی که اولی ارائه می‌شد، بدافزار ابزار «FileService» را ایجاد می‌کرد و هنگامی که مؤلفه دوم اجرا می‌شد، آن را حذف می‌کرد. اگر هیچ شناسه‌ای ارائه نشود، این بدافزار به صورت خودکار سعی می‌کند که FileService را راه‌اندازی کند، چرا که تصور می‌کند این ابزار وجود دارد.
در حالی‎که این سرویس اجرا شده است، این بدافزار تعدادی از دستورات اشکال‌زدایی را ایجاد کرده و آن‎ها را در سابقه پوشه پرونده %ALLUSERSPROFILE% ذخیره می‌کند. این باج‌افزار از یک رمزنگاری بلوک GOST برای ایجاد نام پرونده منحصربه‎فرد استفاده می‌کند و این تکنیکی است که مخصوص بوکبی است و شامل ایجاد دو پرونده کلیدی می‌شود.
این باج‌افزار همه‌ی پرونده‌ها را در درایوهای دستگاه رمزنگاری می‌کند به جز آن‎هایی که در پوشه‌های زیر قرار دارند:

C:\WINDOWS
C:\Windows
C:\Program Files
C:\Program Files (x۸۶)

همچنین این بدافزار یک فرایند را نیز برای رمزنگاری منابع شبکه تولید می‌کند و WNetOpenEnum را فراخوانی می‌کند تا منابع دیسک‌های شبکه در دسترس باشند.
بر خلاف سایر خانواده‌های باج‌افزارهای مرسوم، بوکبی یک پسوند خاص به فایل‌هایی که رمزنگاری شده، اضافه نمی‌کند. این بدان معناست که بعد از رمزنگاری، پرونده‌ها دوباره نوشته می‌شوند و با همان اسامی که قبلاً وجود داشته‌اند قرار می‌گیرند. پرونده‎های کلیدی که از قبل ایجاد شده‌اند، حذف نمی‌شوند.
همچنین محققان مشاهده کرده‌اند که این بدافزار شامل یک روال رمزگشایی است که می‌تواند با تغییر یک باینری ساده پرونده‎ها را رمزگشایی کند، اگر چه هرگز بدافزار این روال را فراخوانی نمی‌کند. محققان می‌گویند که این روال می‌تواند برای قربانیان استفاده شود تا بدون پرداخت باج پرونده‎های خود را بازیابی کنند.
ویژگی‌های این نمونه باج‌افزار جدیداً کشف شده، شبیه به نسخه‌های قدیم است و شامل وجود نام پرونده اصلی FileCrypt در هر دو آن‎ها و استفاده از تابع رمزگشایی بلوک GOST می‌باشد. علاوه بر این، همه نمونه‌ها از پرونده‎های کلیدی فوق استفاده می‌کنند و سبک‌های کدنویسی میان نمونه‌ها نیز با همدیگر سازگاری دارد.
تفاوت‌های میان نسخه‌های قدیمی بوکبی که در سال ۲۰۱۴ ظاهر شده و نمونه جدید، شامل روش نصب آن، در کنار نشانه خطر فرمان /install و /uninstall می‌شود. تابع رمزنگاری منابع شبکه نیز در این میان جدید است و همینطور فقدان یک مرکز C&C HTTP در نسخه‌های جدیدتر، تازگی دارد.
همچنین محققان اشاره کرده‌اند که این باج‌افزار روی دستگاه‌های آلوده یادداشتی با عنوان «حزب راست اوکراین» می‌نویسد که یک حزب سیاسی ملی‌گرا با عملکردهای شبه‌نظامی است و ظاهراً صاحب این بدافزار است. با این حال روس‌ها در حملات اخیر متوجه شده‌اند که دقیقا نمی‌توان مطمئن بود که ادعای «حزب راست اوکراین» دقیق و صحیح است.
فقط در هفته گذشته محققان مرکز Fox-IT جزییات حمله‌ای را افشاء کردند که در آن مجرمان سایبری باج‌افزار را از یک کارگزار آلوده شده‌ی راه دور دسکتاپ فعال کرده‌اند.

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.