پس از اختلال در بات‌نت Necurs حملات بدافزارهای Locky و Dridex غیرفعال شده‌ است!

محققان مرکز پروف پوینت اعلام کرده‌اند که حملات رایانامه‌ای مخرب که به انتشار بدافزار بانکی Dridex و باج‌افزار Locky می‌پرداختند یک هفته‌ است که پس از اختلال در بات‌نت Necurs که آن‌ها را منتشر می‌کرد، غیرفعال شده‌اند.
از لحاظ تاریخی، حملات مخرب Dridex و Locky بخشی از بزرگترین حملاتی هستند که تا کنون دیده شده (با ارسال صدها میلیون پیام برای قربانیان بالقوه)، اما اکنون محققان امنیتی پروف‌پوینت می‌گویند که آن‌ها متوجه شده‌اند که این حملات در تاریخ یکم ژوئن متوقف شده‌اند. به نظر می‌رسد که دلیل اصلی، اختلال در بات‌نت Necurs است که با این دو بدافزار پیش از آن در ارتباط بود.

همچنان که گفته شده، این بات‌نت نقشی کلیدی در انتشار رایانامه‌های مخرب بازی می‌کند،‌ که می‌تواند توقف ناگهانی آلوده‌سازی توسط بدافزارهای Locky و Dridex را توضیح دهد. با این حال، تا زمانی که این اختلال رخ نداده بود،‌ محققان امنیتی قادر نبودند تا متوجه شوند تا چه حد این بات‌نت برای این حملات رایانه حیاتی است.
محققان شرکت Anubis Network، که به نظارت بر بات‌نت Necurs برای حدود یک سال از طریق یک sinkhole مشغول بوده‌اند، قبلاً تخمین زده‌اند که صدها هزار بات در کنترل آن قرار دارد. با این حال، در تاریخ یکم ژوئن، هنگامی که مرکز کنترل و فرماندهی (C&C) این بات‌نت برای مدت ۲۴ ساعت از کار افتاده بود، محققان مشاهده کردند که حدود ۱.۱ میلیون میزبان در تلاشی برای یافتن یک مرکز کنترل و فرماندهی جدید، سعی دارند تا به این sinkhole، متصل شوند.

بات‌نت Necurs چند سال پیش در اینترنت دیده شد، و آن هنگامی بود که فعالیت روت‌کیت آن به وسیله‌ی بدافزار Gameover استفاده می‌شد تا برنامه‌های ضدبدافزار نتوانند آن را از دستگاه‌های آلوده حذف کنند. بدافزار Necurs با داشتن توانایی غیرفعال کردن برنامه‌های ضد بدافزار و بارگیری بدافزارهای اضافی در داخل سامانه‌های آلوده، به وسیله‌ی کیت بهره‌بردار Angler در تاریخ سپتامبر سال ۲۰۱۴ منتشر شد.

Necurs که یک بات‌نت ترکیبی همتا به همتا (P۲P) است، همچنین از الگوریتم تولید دامنه (DGA) استفاده می‌کند تا بات‌ها را قادر کند به جستجو و یافتن مرکز کنترل و فرماندهی جدید در هنگامی از کار افتادن قبلی بپردازند. در واقع، این قابلیتی بود که به شرکت Anubis Networks اجازه داد تا بتواند میزان دقیق بات‌نت‌ها را هنگامی که کارگزار کنترل و فرماندهی آن‎ها در تاریخ یکم ژوئن از کار افتاد، تشخیص دهد.

همچنانکه گفته شده، این بات‌نت در گذشته نیز به همین شکل، نوعی قطعی موقت را تجربه کرده است، اگر چه زمان آن تا این حد طولانی نبوده است (در گذشته نیز محققان دیده بودند که بیش از ۶۵۰ هزار میزبان بعد از اینکه کارگزار کنترل و فرماندهی آن‎ها برای چند ساعت قطع شد، به sinkhole متصل شدند). اینکه چه چیزی باعث این اختلال شده و چه میزان زمان لازم است تا عوامل این بات‌نت بتوانند دوباره کنترل بات‌ها را به دست گیرند، مطلبی است که باید منتظر ماند و دید.

محققان شرکت پروف‌پوینت می‌گویند: «قطع شدن Necurs در هفته گذشته بارزترین شاهدی بود که تا این زمان به ما نشان داده، از این بات‌نت در حملات بدافزارهای Locky و Dridex که امسال مورد ردیابی قرار گرفته‌اند، استفاده می‌شود. درحالی‌که این اولین باری نیست که ما قطع شدن Necurs را مشاده می‌کنیم، اما داده‌های موجود نشان می‌دهند که باید یک خرابی قابل ‌توجه در زیرساخت‌های مرکز کنترل و فرماندهی این بات‌نت رخ داده باشد».

اما آن چیزی که مشخص است، این است که بدافزارهای Dridex و Locky از بین نرفته‌اند. به گفته‌ی محققان شرکت پروف‌پوینت، حملات رایانامه مخرب کوچکتر نیز در ظرف چند روز گذشته انجام شده‌اند، هر چند که آنها توسط مکانیسم‌های کمتر مؤثری تقویت شده‌اند. Necurs هنوز به کار نیفتاده است و ممکن است زمانی بگذرد تا حملات مخرب بدافزارهای Dridex و Locky بتوانند به قدرت زمان قبل بازگردند.

همچنانکه ما در گذشته دیده‌ایم، Dridex بدافزاری نیست که بتوان به راحتی از بین برد. در اکتبر سال گذشته، مقامات موفق شدند تا در بات‌نت Dridex اختلاف ایجاد کنند، اما ظرف یک هفته این بدافزار موفق شد تا به روال سابق خود برگردد. در اواخر ماه نوامبر، بدافزار بانکی Dridex به بالاترین نرخ آلودگی رسید. بات‌نت Dridex شروع به توزیع و گسترش باج‌افزار Locky از طریق ضمیمه‌های جاوا اسکریپت در ماه مارس کرده است.

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.