شناسایی باج‌افزار جدید که در کارگزار نصب می‌شود با هدف حمله به بیمارستان‌ها

حملات باج‌افزاری علیه بیمارستان‌ها توسط مجرمان سایبری با فشارهای جدید از جانب باج‌افزارهای سمت کارگزار با نام Sam Sam و Maktub افزایش یافته است. برخلاف باج‌افزارهای قدیمی که به فریب کاربران برای کلیک بر روی یک پیوست آلوده رایانامه یا بازدید از یک وب‌گاه آلوده بستگی داشتند این نوع باج‌افزارهای جدید با سوءاستفاده‌ی مجرم سایبری از آسیب‌پذیری‌های وصله نشده کارگزار نصب می‌شوند. تا به امروز تنها بیمارستان‌ها هدف این دو باج‌افزار بوده‌اند.
کریگ ویلیامز، رهبر ارشد فنی در Cisco Talos گفت: «در گذشته باج‌افزارهایی مثل CryptoLocker و TeslaCrypt به شخصی نیاز داشتند تا یک پیوست رایانامه را باز کند یا از وب‌گاهی بازدید کند. Sam Sam کارگزارهای آسیب‌پذیر را هدف قرار می‌دهد. این کارگزارها همیشه در دسترس‌اند و همیشه پتانسیل آسیب‌پذیری را دارند.»
متخصصان امنیتی می‌گویند این روش جدید حمله در ناشناس ماندن بسیار موثر و برای ایجاد حداکثر خرابی در زیر ساخت درونی یک شرکت بسیار مناسب است.
طبق گفته ویلیامز، Sam Sam می‌تواند با استفاده از آسیب‌پذیری‌های شناخته شده‌ی کارگزارهای وصله نشده‌ی یک شرکت به درون شبکه یک بیمارستان نفوذ کند.
ویلیامز می‌گوید هنگامی که مجرمان سایبری به شبکه دسترسی می‌یابند، سامانه‌های اطلاعاتی مهم و کلیدی را شناسایی می‌کنند تا بتوانند اطلاعات را رمزگذاری کنند. او گفت: « این باج‌افزارها برای قفل کردن رایانه شخصی نیست. Sam Sam کارگزارها و سامانه‌های را هدف قرار می‌دهد که اطلاعات بیمارستانی در آن قرار دارد .»
گروه امنیتی Cisco Talos با بررسی باج‌افزار Sam Sam نوشت: «عملکرد Sam Sam نامعمول است چرا که به جای تمرکز روی کاربر از روش‌های اجرا از راه دور بهره می‌برد. مهاجمان سایبری از آسیب‌پذیری‌های شناخته شده در کارگزارهای JBoss پیش از نصب لایه وب سوء‌استفاده می‌کنند و سامانه‌های متصل شبکه‌ای بیشتری را شناسایی و باج‌افزار Sam Sam را برای رمزگذاری پرونده‌ها روی این دستگاه نصب می‌کنند.»

Cisco Tales توضیح می‌دهد که مجرمان سایبری از JexBoss که ابزار متن‌‌بازی برای آزمایش و استفاده از کارگزارهای کاربردی JBoss است استفاده می‌کنند؛ و همین باعث می‌شود که آن‌ها به شبکه یک بیمارستان دسترسی یابند. به محض اینکه به شبکه دست یافتند، اقدام به رمزگذاری چند سامانه ویندوز با استفاده از Sam Sam می‌کنند.
متخصصان امنیتی می‌گویند بیمارستان‌ها به این علت که گفته می‌شود امنیت ضعیف و فن‌آوری قدیمی دارند، مورد هدف قرار گرفته‌اند. البته اغلب داده‌های حساسی در اختیار بیمارستان‌ها است که در شرایط اضطراری دست‌رسی به آن‌ها ضروری است.
ویلیامز می‌گوید: «اگر شما کارمند بیمارستان هستید و نگران Sam Sam نیستید من توصیه می‌کنم که نگران باشید. احتمال اینکه مجرمان سایبری شبکه بیمارستان شما را بررسی کرده باشند و شماهم یکی از افراد در فهرست آن‌ها باشید هست.» ویلیامز گمان می‌کند بیمارستان‌ها اولین هدف از اهداف گوناگون از جمله صنایع مهم هستند.
شرکت امنیتی Check Point گفته‌ است هر دو باج‌افزار Sam Sam و Maktub زیرساخت کنترل و فرمان‌دهی حمله معمولی ندارند. در واقع، هر دو باج‌افزار اطلاعات را رمزگذاری می‌کنند و پیوند آنها به وب‌گاه‌های وردپرس (Word Press) تنها از راه شبکه‌ی گمنامِ تور قابل دسترسی است.
Cisco Talos گفته است که برخلاف باج‌افزارهای دیگر، قربانیان می‌توانند با کسی که باج را درخواست کرده است ارتباط برقرار کنند این ارتباط به مجرمان سایبری و قربانیان اجازه می‌دهد بر سر مسائلی مثل پرداخت باج‌افزار برای بازگشایی رمز سامانه‌ها مذاکرده کنند. برای مثال Cisco Talos نمونه‌ای را عنوان کرد که برای باز کردن قفل یک سامانه بیت کوین درخواست کرده است یا مذاکره‌ای که باعث شد قربانیان پول کمتری برای باز کردن چند سامانه در یک زمان بپردازند.
گادی ناوه، یکی از محققین امنیتی در Check Point گفت: «تعداد رمزگذاری برون‌خط (آفلاین) در بین باج‌افزارها بسیار اندک است.» او گفت Sam Sam و Maktub بدون نیاز به ارتباط با کارگزار کنترل و فرمان‌دهی می‌توانند پرونده‌ها را رمزگذاری کنند. CheckPoint در وبلاگی در مورد این باج‌افزار نوشت چیزی که Maktub را برجسته و متفاوت می‌کند این است که Maktub ابتدا پرونده‌هایی را که می‌خواهد قفل کند، فشرده می‌کند تا بدین ترتیب سرعت رمزگذاری را افزایش دهد.
هر دو محقق می‌گویند که مجرمان سایبری پشت باج‌افزار Sam Sam و Maktub به ظاهر در اخاذی پول تازه کارند. ویلیامز گفت Sam Sam حملاتی که انجام داده است را با مبلغی پایین قیمت گذاری می‌کند و برای اینکه ببیند قربانیان تا چه حد پول می‌پردازند، خیلی آهسته مبلغ درخواستی خود را افزایش می‌دهد.
ناوه گفت: « این یک ارزیابی از باج‌افزارهایی است که طی سال گذشته دیده‌ایم. و تفاوتی هم بین اشخاصی که از طریق رایانامه آلوده شده‌اند و صنایعی که از طریق آسیب‌پذیری‌های کارگزار آلوده شده‌اند وجود ندارد. من معتقدم که در چند ماه‌آینده با تعداد بیشتری از این نوع باج‌افزار رو به رو خواهیم شد.»

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.