تبدیل بدافزار مخرب KillDisk به باج‌افزار

باج‌افزار جدید KillDisk که اخیراً کشف شده بود تمامی پرونده‌های دستگاه قربانی را رمزنگاری کرده و بجای حذف کردن، برای گرفتن باج آن‌ها را نگه می‌دارد. بخاطر اینکه این بدافزار سامانه‌های کنترل صنعتی را هدف قرار داده بود، متخصصان نگران هستند که این بدافزار، باج‌افزارها را وارد حوزه‌ی کنترل صنعتی کند.

نسخه‌های قبلی این بدافزار بر روی هارد درایو کار می‌کرد و سعی داشت آن را غیرقابل اجرا کند اما نسخه‌ی جدید که توسط متخصصان امنیتی مشاهده شده، پرونده‌ها را با ترکیبی از الگوریتم‌های RSA و AES رمزنگاری می‌کند. به‌طور ویژه هر پرونده با الگوریتم AES رمزنگاری شده و کلیدهای این رمزنگاری با کلید ۱۰۲۸ بیتی RSA که در بدنه‌ی بدافزار قرار دارد، رمز می‌شود.
محققان امنیتی گفتند نمونه‌ی جدید KillDisk که بررسی کردند، بخشی از یک باج‌افزار است و کد و عملکرد آن نیز بسیار نزدیک به بدافزار نسخه‌ی قبل است.

این باج‌افزار برای رمزنگاری پرونده‌های متنوعی مانند اسناد، پایگاه داده، کد منبع، تصویر دیسک، رایانامه و پرونده‌های رسانه‌ای طراحی شده است. این باج‌افزار پارتیشن‌های محلی و پوشه‌های به اشتراک گذاشته شده در سطح شبکه را هدف قرار می‌دهد.
از قربانیان برای بازگرداندن پرونده‌ها ۲۲۲ بیت‌کوین باج درخواست شده است و محققان امنیتی بر این باورند که این باج‌افزار سازمان‌هایی که وضع مالی خوبی دارند، هدف قرار داده است. آدرس رایانامه‌ای که برای تماس در اختیار قربانیان قرار گرفته مربوط به یک ارائه‌دهنده‌ی سرویس رایانامه‌ی خصوصی با نام Lelantos بوده و دستیابی به آن تنها از طریق شبکه‌ی Tor امکان‌پذیر است. آدرس کیف پول بیت‌کوین که برای پرداخت باج در اختیار قربانی قرار گرفته، تاکنون هیچ تراکنشی را انجام نداده است.

محققان امنیتی اشاره کردند از یک کلید عمومی RSA یکسان در تمامی نمونه‌ها استفاده شده است. به عبارت دیگر قربانی با پرداخت باج و دریافت کلید رمزگشایی، می‌تواند پرونده‌های تمام قربانیان را رمزگشایی کند.
محققان امنیتی می‌گویند این بدافزار نیازمند امتیازات سطح بالا و ثبت خود به عنوان یک سرویس است. این بدافزار فرآیندهای زیادی را بر روی رایانه‌ی قربانی خاتمه می‌دهد ولی از خاتمه دادن به فرآیندهای سامانه‌ای و فرآیندهای مربوط به برنامه‌های ضدبدافزار خودداری می‌کند. دلیل این کار جلوگیری از خراب‌کاری در سامانه و تشخیص توسط محصولات امنیتی است.

محققان گفتند: «نکته‌ی مهمی که وجود دارد و باید به آن اشاره کنیم این است که نویسندگان این بدافزار به خوبی با API های رمزنگاری آشنا هستند و از برخی توابع به‌درستی برای تولید اعداد تصادفی استفاده می‌کنند. ولی آن‌ها از تابع CryptDecrypt استفاده نکرده‌اند احتمالاً به این خاطر که این تابع به راحتی قلاب می‌شود. قابلیت قلاب کردن یک تابع به برنامه‌های ضدبدافزار این امکان را می‌دهد به پرونده‌های رمزنگاری‌شده دست یافته و کلیدهای رمزنگاری را بازیابی کنند.»

تکامل KillDisk به سمت باج‌افزار
اوایل این ماه شرکت امنیتی ESET گزارشی از جزئیات یک حمله که توسط گروه TeleBots انجام شده بود ارائه داد. محققان بر این باور بودند که این گروه، تکامل‌یافته‌ی گروه نفوذ روسی BlackEnergy است که در دی ماه سال گذشته نیز نیروگاه‌های برق اوکراین را هدف حمله قرار داده بود.

یکی از ابزارهایی که توسط گروه BlackEnergy مورد استفاده قرار می‌گرفت همین بدافزار KillDisk بود. این بدافزار برای حذف پرونده‌ها و غیرقابل اجرایی کردن سامانه طراحی شده بود. در حمله‌ای که باعث قطعی برق در اوکراین شد، بدافزار KillDisk بود که کار بازیابی سرویس برای نیروگاه‌های برق و انرژی را بسیار مشکل کرد.

در پویش‌های مخرب سایبری که اخیراً علیه اهداف با ارزش و مؤسسات مالی در اوکراین صورت گرفته، گروه TeleBots از ابزارهای مختلفی از جمله نسخه‌ی جدید KillDisk استفاده کرده است. این بدافزار معمولاً با امتیازات بالا در مراحل نهایی حمله مورد استفاده قرار گرفته است. در مراحل اولیه مهاجمان تلاش می‌کنند امتیازات سطح بالا و مدیریتی و گواهی‌نامه‌های لازم را بدست آوردند.

در این حملات بدافزار KillDisk به‌گونه‌ای پیکربندی شده تا در تاریخ و زمان مشخصی فعال شود. علاوه بر حذف پرونده‌های مهم سامانه‌ای، بدافزار طوری تنظیم شده که پرونده‌ها را با پسوند خاصی رونویسی می‌کند که تا حدی شبیه به کاری است که باج‌افزار با رمزنگاری پرونده انجام می‌دهد.
محققان امنیتی معتقدند مهاجمان بدافزار KillDisk را در داخل یک باج‌افزار قرار داده‌اند تا علاوه بر پویش‌های مخرب خود، بتوانند پولی نیز بدست آورند.

محققان اشاره کردند سامانه‌های صنعتی به دلایل مختلف می‌توانند هدف خوبی برای مهاجمان و باج‌افزارها باشند. این دلایل عبارتند از:
• پویش‌های مخرب به راحتی می‌تواند باعث خطرات و قطعی‌های فیزیکی قابل توجهی بشوند.
• عملکرد شبکه به راحتی قابل متوقف کردن نیست.
• پرونده‌های پشتیبان کافی برای بازیابی داده‌ها وجود ندارد.
• به احتمال زیاد کارمندان سامانه‌های صنعتی، خیلی از امنیت سایبری آگاه نیستند.

محققان می‌گویند: «بسیاری از شرکت‌ها به احتمال زیاد باج درخواستی از طرف مهاجمان را بی‌سروصدا پرداخت می‌کنند. دلیل پرداخت باج این است که شرکت‌ها از عمومی شدن این حملات سایبری و جریمه‌هایی که دریافت خواهند کرد، نگران هستند.»

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.

اسکن امنیتی وب سایت
(5000 تومان)

نوع وب سایت: وبلاگ، شرکتی، تجارت الکترونیک و کسب و کارحرفه ای
آسیب پذیری های OWASP (شامل بررسی 10 آسیب پذیری متداول)
اسکن نرم افزار/وب سایت توسط Acunetix نسخه 11
اسکن تمامی پورت ها با ابزار Nmap
اسکن وب سرور و پیکربندی آن توسط ابزار Nikto
اسکن تزریق توسط نرم افزار قدرتمند SQLmap