هکران کلاه سفید حملات باج‌افزار Locky را مختل کردند!

بعد از حمله هکران کلاه سفید به یکی از کارگزارهای C&C مهاجمان و جایگزینی باج‌افزار اصلی Locky با یک پرونده‎ی بی‌ضرر با رشته‎ی «لاکی احمق»، در حملات این باج‎افزار اختلال بوجود آمد.
به گفته محقق شرکت اویرا، اسون کارلسن، این حمله با یک هرزنامه جی‌میل آغاز می‌شود تا دریافت‌کنندگان را برای باز کردن یک پرونده ضمیمه و گفتن اینکه یک صورت‌حساب پرداخت نشده دارند، فریب دهند.
پرونده ضمیمه در واقع یک بارگیری‎کننده‌ی بدافزار است که به نحوی پیکربندی شده تا باج‌افزار لاکی را از یک کارگزار که مکان آن بر اساس الگوریتم ایجاد دامنه (DGA) مشخص شده است، بارگیری کند. سپس این بارگیری‎کننده، پرونده را اجرا می‌کند.
با این حال، در حمله‌ای که توسط شرکت اویرا تجزیه و تحلیل شده است، این بارگیری‎کننده، در واقع پرونده Locky را بارگیری نمی‌کند و به جای آن یک پرونده اجرایی ۱۲ کیلوبایتی را که حاوی پیام «Stupid Locky» است دریافت می‌کند. از آنجایی که این پرونده دارای یک ساختار معتبر نیست، این بارگیری‎کننده نمی‌تواند آن را اجرا کند و در نتیجه یک پیغام خطا ظاهر می‌شود.
کارلسن معتقد است که کسی (به احتمال زیاد یک هکر کلاه سفید) به کارگزار C&C مجرمان سایبری نفوذ کرده و پرونده اجرایی Locky را با یک پرونده بی‎ضرر جایگزین کرده‌ است.
این اولین باری نیست که هکران کلاه سفید، تلاش کرده‌اند تا یک حمله‌ی بدافزاری را از کار بیاندازند. در ماه فوریه، اویرا گزارش داده است که شخصی یکی از کانال‌های انتشار بات‌نت Dridex را مورد حمله قرار داده و این بدافزار بانکی را با یک رونوشت از ضدبدافزار اویرا جایگزین کرده است.
کارلسن می‌گوید: «من معتقد نیستم که مجرمان سایبری خود این عملیات را انجام داده‌ باشند، زیرا که موجب صدمه‌ی بالقوه به شهرت و درآمد آن‎ها می‌شود. همچنین من نمی‌توانم بگویم که Locky بعد از این عملیات مرده است. همچنان‎که ما می‌دانیم، آن‎ها هنوز فعال هستند و کار خود را به خوبی بلدند. اما پس از نمونه‌هایی در مورد Dridex و بعد از آن Locky به نظر می‌رسد که حتی مجرمان سایبری و استادان استتار کردن نیز آسیب‌پذیر هستند».
Locky برای رمزنگاری ۱۶۰ پرونده مختلف در سامانه‌های آلوده طراحی شده است و معمولاً از قربانیان خواسته می‌شود تا بین ۲۲۰ و ۸۸۰ دلار را برای بازیابی پرونده‎های خود بپردازند. گزارشی که این هفته به وسیله Cloudmark منتشر شده است، نشان می‌دهد که در سه ماهه اول سال ۲۰۱۶، بیشترین و پایدارترین حملات متوجه آمریکا، ایتالیا و انگلستان بوده است. همچنین ژاپن و نروژ نیز در دوره‌های زمانی کوتاه به شدت آماج حملات این باج‌افزار بوده‌اند.
محققان اخیراً اشاره کرده‌اند که بات‌نت Dridex نیز برای انتشار باج‌افزار Locky مورد استفاده قرار می‌گیرد.

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.