مهاجمان اعتبارنامه‌های کارگزار را در کد باج‌افزار جا گذاشتند!

باج‌افزارها در حال حاضر یکی از بزرگترین تهدیدات سایبری هستند که هم بر افراد و هم بر شرکت‌ها تأثیر منفی خود را باقی می‌گذارند اما در هر حال مجرمان سایبری که در پشت این حملات قرار دارند نیز اشتباهات فاحشی مرتکب می‌شوند.
اخیراً محققان شرکت ترند میکرو به یک باج‌افزار به نام SNSLocker برخورده‎اند که به دلیل شیوه عملکرد و رابط کاربری خود حضور چندان چشمگیری نداشته است. اما با این حال این باج‌افزار توجه خاصی را به خود جلب کرده است و آن هم به دلیل اشتباهی بوده که نویسندگان آن مرتکب شده‌اند. توسعه‌دهنده یا توسعه‌دهندگان این بدافزار اعتبارنامه‌هایی را که برای دسترسی به کارگزار خود لازم دارند را در کد باج‌افزار جا گذاشته‌اند و فراموش کردند تا قبل از شروع حمله‌ی بدافزار آن‎ها را حذف کنند.

همانطور که مشخص خواهد شد، این تنها یکی از اشتباهاتی است که این مجرمان سایبری مرتکب شده‌اند، چرا که آن‎ها از کارگزارهای خوانا و سامانه‌های پرداخت واضح در حملات خود استفاده کرده‌اند. محققان ترند میکرو می‌گویند که این نشان می‌دهد که آن‎ها برای نصب یک سامانه جهت حمله خود عجله داشته‌اند و تنها به دنبال دریافت سریع پول بوده‌اند. رشد اخیر ارائه خدمات باج‌افزاری به اکثر افراد اجازه داده است تا تبدیل به یک مجرم سایبری شوند، اما به هر حال این شیوه‌ی تجارت نیز هشدارهای مربوط به خود را دارد. به دلیل اینکه این مهاجمان برای برگشت سرمایه‌گذاری خود عجله داشته‌اند،‌ برای حفظ امنیت نرم‌افزار مخرب و منابعی که از آن‎ها استفاده می‌کنند، تمرکز لازم را به خرج نداده‌اند.

رها کردن اعتبارنامه‌ها به صورت باز و به اشتراک‌ گذاردن آن‎ها در رسانه‌های اجتماعی با محققان امنیتی یک اشتباه فاحش بوده است که نویسندگان این بدافزار ممکن است به دلیل نداشتن مهارت‌های پیشرفته، مرتکب آن شده باشند. به گفته‌ی این محققان امنیتی، SNSLocker دارای یک رابط کاربری سنگین است و قابلیت‌هایی که دارد شبیه به دیگر خانواده‌های باج‌افزارهایی از این نوع است.
قابلیت‌های رمزگذاری این بدافزار همچون دیگر باج‌افزارها است و نشانی‌های پرداخت و میزان باج درخواستی (در این مورد ۳۰۰ دلار) نیز برجستگی خاصی ندارد. همچنین محققان ترند میکرو گفته‌اند که این بدافزار به صورت خالص در .Net Framework ۲.۰ نوشته شده است و از قابلیت‌های چندین کتابخانه محبوب نظیر Newtonsoft.Json و MetroFramework UI نیز بهره می‌برد و علاوه بر این‎ها از رابط کاربری Microsoft .Net Crypto نیز استفاده می‌کند.

کد باج‌افزار علاوه بر اعتبارنامه‌هایی برای ورود به کارگزار مذکور شامل رشته‌ای است که اطلاعاتی را در مورد مکان کارگزار افشاء می‌کند. محققان می‌گویند که این کد، نه تنها موجب دسترسی به کارگزار می‌شود بلکه همچنین کلید رمزگشایی را نیز که در داده‌های در دسترس عموم است، ارئه می‌کند.
عوامل این باج‌افزار SNSLocker از یک ارائه‌دهنده‌ی رایگان میزبانی به عنوانی مرکز کنترل و فرماندهی باج‌افزار (C&C) و کارگزار پرداخت استفاده کرده‌اند به‎طوریکه هزینه‌ی نگهداری از حساب کاربری به حداقل ممکن برسد. همچنین این عوامل زمانی را برای سفارشی کردن روند پرداخت نیز صرف ننموده‌اند، و به جای آن، تنها به یک درگاه ارز رمزنگاری شده‌ی قانونی برای پذیرش پرداخت روی آورده‌اند.

با وجود این اشتباهات، ‌این باج‌افزار موفق شده‌ است که رایانه‌هایی را در سراسر دنیا آلوده سازد، اگر چه تمرکز خود را بیشتر بر کشور ایالات متحده آمریکا قرار داده است. به دلیل اینکه این باج‌افزار یک تهدید جهانی است، بنابراین در زمره‌ی بدافزارهای شایع است و این نشان می‌دهد که مجرمان سایبری می‌توانند به راحتی سامانه‌های آلوده سازی و پرداخت خود را نصب کرده و افراد را بدون صرف وقت در سراسر دنیا مورد هدف قرار دهند.
متأسفانه برخی از خانواده باج‌افزارهای مسلط در دنیای خارج، از ضعف‌هایی که باج‌افزار SNSLocker دارد، رنج نمی‌برند. تهدیدهایی نظیر Ceber به صورت مداوم به‏روزرسانی می‌شوند که موجب می‌شود تا عملکردهای آن‎ها بهبود پیدا کند و در نتیجه‌ی آن می‌توانند از برنامه‌های ضد بدافزار خود را پنهان سازند. باج‌افزارهای Petya‌ و Locky نیز دو نمونه از بدافزارهایی هستند که خوب نوشته شده‌اند و در زمره‌ تهدیدهایی هستند که به‎طور مداوم پشتیبانی می‌شوند.

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.

اسکن امنیتی وب سایت
(5000 تومان)

نوع وب سایت: وبلاگ، شرکتی، تجارت الکترونیک و کسب و کارحرفه ای
آسیب پذیری های OWASP (شامل بررسی 10 آسیب پذیری متداول)
اسکن نرم افزار/وب سایت توسط Acunetix نسخه 11
اسکن تمامی پورت ها با ابزار Nmap
اسکن وب سرور و پیکربندی آن توسط ابزار Nikto
اسکن تزریق توسط نرم افزار قدرتمند SQLmap