حمله باج‌افزار Fairware‌ به کارگزارهای لینوکسی

مدیران کارگزار‌های لینوکس به تازگی خبر از حملاتی می‌دهند که منجر به ناپدید شدن پوشه وب کارگزار و همچنین ازکارافتادگی وبگاه برای مدت نامعلومی می‌شود.

پست‌های اعلام‌شده در تالارهای گفتگوی وبگاه BleepingComputer با تائید چنین حملاتی و همچنین اظهارات یکی از قربانیان این حملات حاکی از این است که این حملات از نوع حملات جستجوی فراگیر بوده که علیه SSH انجام شده است. در هر نمونه از این حملات، پوشه وب حذف می‌شود و پرونده read_me مربوط به آن پوشه باقی می‌ماند که دارای یک نشانی اینترنتی مربوط به صفحه Pastebin است. در این پرونده یک یادداشت باج‌خواهی قرار داده شده است. این یادداشت‌ها در ازای بازگشت پرونده‌های پاک‌شده، دو بیت کوین را از کاربر درخواست می‌کنند.

نکته‌ای که به پیچیدگی و حدس و گمان‌های مربوط به این فرآیند اضافه کرده است این است که طراحان این باج‌افزار اعلام کرده‌اند که طی فرآیندی کارگزار لینوکس را با استفاده از بدافزار Fairware که خود طراحان آن را باج‌افزار می‌خوانند، آلوده کرده‌اند.

در عین حال، لارنس آبرامس، از کارمندان شرکت BleepingComputer اظهاراتی را بیان کرد که به ظاهر کمتر شبیه واقعیت است. وی در این خصوص گفت: «اگر یک نفوذگر یک برنامه یا اسکریپت را به منظور انجام حمله خود بارگذاری کند، این برنامه یا اسکریپت در اینجا حکم یک باج‌افزار را خواهد داشت. متأسفانه، اطلاعات شرکت در حال حاضر محدود است، ‌اما تمامی گزارش‌ها نشان می‌دهند که کارگزارها مورد نفوذ واقع شده‌اند و البته این موضوع هنوز به اثبات نرسیده است.»

یادداشت باج‌خواهی در این فرآیند شامل یک نشانی بیت‌کوین است که به کاربران دو هفته فرصت برای پرداخت باج می‌دهد. در صورتی که کاربر در طول این مدت این باج را پرداخت نکند، یادداشت اعلام خواهد کرد که پرونده‌های حذف‌شده در فضای اینترنت پخش خواهند شد. در این یادداشت آورده شده است: «تنها کسانی که می‌توانند پرونده‌های شما را بازگردانند، ما هستیم! هنگامی که کارگزار شما مورد نفوذ واقع شد، پرونده‌های موجود رمزنگاری‌شده و به کارگزاری ارسال شد که ما آن را کنترل می‌کنیم!» این یادداشت علاوه بر این،‌ یک نشانی رایانامه‌ای برای پشتیبانی دارد، اما در این یادداشت از کاربران خواسته شده است از سؤالاتی مانند اصالت طراحان این باج‌افزار در مورد پرونده‌های مفقودشده، پرهیز کنند.

آبرامس در ادامه اظهارات خود گفت: «در حال حاضر مشخص نیست که طراحان این باج‌افزار با پرونده‌ها چه می‌کنند، اما از آنجایی که پرونده‌ها در این فرآیند پاک می‌شوند، در صورتی که طراحان آن‌ها را در جایی ذخیره کنند، احتمال اینکه این پرونده‌ها آرشیو شده و سپس در یک کارگزار بارگذاری شوند بیشتر خواهد بود تا اینکه رمزنگاری این پرونده‌ها انجام شود و سپس برای ردیابی هرکدام، یک کلید جداگانه طراحی شود.»

تا کنون در مورد این فرآیند، تنها شواهدی که در حملات جمع‌آوری شده است، نوع باج‌افزارهای استفاده‌شده برای بهره‌برداری و همچنین فرآیند فریب دادن کاربر برای اجرای یک پرونده مخرب هستند.

یکی از کاربرانی که دچار این مشکل شده است، با گذاشتن یک پست در BleepingComputer اعلام کرد که بیشتر کارگزارهای لینوکس وی مانند پرونده‌های پایگاه اطلاعاتی سالم هستند، اما یک پرونده read_me در پرونده اصلی وجود داشت. فرآیند پاک‌سازی پرونده‌ها و همچنین امتناع از درخواست‌های شناسایی طراحان، از رفتارهای نامتعادلی هستند که طراحان این باج‌افزار از خود بروز داده‌اند.

آبرامس در این خصوص یادآور شد: «این فرآیند گونه‌ای از کلاه‌برداری است، اما در عین حال می‌توان آن را یک حرکت تجاری ضعیف از سوی نفوذگران قلمداد کرد. در این فرآیند، هنگامی که طراحان باج‌افزار به طور مرتب از کاربر درخواست باج نکنند، همه مراحل بی‌نتیجه می‌شود و هیچ‌کس باجی را پرداخت نخواهد کرد.»

کاربرانی که اخبار مربوط به این حمله باج‌افزاری را می‌شنوند، با توجه به خطر لحظه‌ای انتشار اطلاعات دزدیده‌شده به صورت اینترنتی، ممکن است هر لحظه به دلیل استرس موجود، برای پرداخت باج اقدام کنند، اما باید توجه داشت که بدافزار Fairware اولین موردی نبوده است که مشکلات این‌چنینی را درست می‌کند و نوامبر سال گذشته نیز یک باج‌افزار با نام Chimera تهدید به انتشار اطلاعات رمزنگاری‌شده توسط بدافزار کرده بود. این باج افزار تنها شرکت‌های آلمانی را هدف خود قرار می‌داد و در اصل یک باج‌افزار رمزنگاری بود که به صورت دیگر باج‌افزارهای موجود عمل کرده و با رمزنگاری اطلاعات موجود در سامانه و همچنین اطلاعات به اشتراک گذاشته‌شده در درایوهای شبکه، حمله خود را ترتیب می‌داد.

آبرامس در پایان اذعان کرد: «اگرچه تمامی کاربران موردحمله باج‌افزارها باید از پرداخت باج درخواستی خودداری کنند، اما اگر کاربری قصد انجام این کار را داشت، باید ابتدا اطمینان حاصل کرد که پرونده‌ها قبل از پرداخت باج، دریافت شوند.»

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.