باج‌افزار locky

این باج‌افزار برای اولین‌بار در ماه می‌گذشته در سطح اینترنت گسترش یافت وگزارش‌ها نشان داد این باج‌افزار در یکی از حملات بزرگ خود توانست بیمارستان هالیوود را آلوده کند و مبلغ ۴/ ۲ میلیون یورو باج بگیرد. این باج‌افزار ابتدا فایل‌ها را بررسی کرده و پس از رمزکردن فایل‌ها، پسوند.locky را به آنها اضافه می‌کرد. کلید رمزگشایی فقط در اختیار تولیدکنندگان باج‌افزار قرار داشت  و برای به‌دست آوردن آن باید مبلغی معادل ۵/ ۰ بیت‌کوین تا حدود ۱ بیت‌کوین پرداخت می‌شد. هرچند در سال ۲۰۱۶ توسعه دهندگان باج‌افزار Locky پنجاه میلیون دلار درآمد به دست آوردند و بیش از ۷۰ درصد سهم بازار را در اختیار گرفته بودند اما در ماه ژانویه ۲۰۱۷ این سهم تا میزان ۱۲درصد و در پایان مارس به ۲ درصد رسید.

آخر هفته

Ceber

بین سال‌های 2016 تا 2017 میلادی باج‌افزار ceber یکی از چند نمونه از حمله‌های خطرناک باج‌افزاری در دنیا نام گرفت. باج‎افزار Ceber به‌عنوان یک ضمیمه هرزنامه که حاوی یک سند مخرب بوداز طریق ترفندهای مختلف مهندسی اجتماعی گسترش می‌یافت و کاربران را وادار می‌کرد تا کدهای مخرب را اجرا کنند. Ceber تنها از این شیوه‌ حمله استفاده نمی‌کرد، این برنامه مخرب قابلیت‌های منحصربه‌فرد خاص خود را داشت. پس از رمزگذاری پرونده‎ها، این باج‌افزار یک پرونده صوتی پخش می‌کرد تا قربانیان را از آلوده شدن رایانه‌های آنها آگاه کند. البته این باج‌افزار یک هشدار نوشتاری را نیز نشان می‌داد. از ابتدا سال 2017، سهم بازار باج‌افزار Cerber تا ماه ژانویه 70 درصد و تا پایان مارس 90 درصد رشد داشت. به اعتقاد محققان امنیتی موفقیت باج‌افزار Cerber به استفاده از تاکتیک‌های جدید به منظور جلوگیری از شناسایی شدن توسط نرم‌افزارهای آنتی‌ویروس، بهبود تکنیک‌های توزیع باج‌افزار و همچنین استفاده از روش باج‌افزار به‌عنوان یک سرویس (RaaS) بود. گرچه توسعه‌دهندگان این بدافزار به تکنیک‌های توزیع سنتی همچون ایمیل‌های اسپم هم پایبند بودند، ولی هر لحظه روش‌های توزیع جدید را نیز به‌کار بردند.

خرگوش بد

اما یکی از مخرب‌ترین بدافزار‌ها در سال 2017 Bad Rabbit نامیده شد. آنچه که در مورد باج‌افزار Bad Rabbit مشخص بود، شدت آلودگی و خرابکارهایی بود که این بدافزار در روسیه داشت و توانست چندین رسانه‌ بزرگ را در روسیه آلوده کند. خبرگزاری اینترفاکس و Fontanka.ru نیز در بین قربانیان این باج‌افزار بودند. مجرمان پشت حمله Bad Rabbit خواستار 05/ 0 بیت‌کوین به‌عنوان باج درخواستی از قربانیان بودند که این رقم بیت‌کوین معادل 280 دلار بود. حمله Bad Rabbit به‌صورت ناآگاه و از یک Adobe Flash از وب‌سایت آلوده منتشر می‌شد. دامی که مجرمان در این حمله برای کاربران گذاشته بودند مربوط به فایل Adobe Flash بود. در این حمله قربانیان به‌صورت اتفاقی Adobe Flash را دانلود و نصب کرده و سپس فایل exe را به‌صورت دستی راه‌اندازی می‌کردند و در همین مرحله سیستم کاربران دچار آلودگی می‌شد.  بر اساس اطلاعات اما بیشتر قربانیان در روسیه اسیر باج‌افزار Bad Rabbit شدند. این باج‌افزار موفق شد تا دستگاه‌ها را از طریق تعدادی از وب‌سایت‌های رسانه‌ای هک‌شده در روسیه آلوده سازد. گزارش‌ها نشان داد Bad Rabbit یک حمله بزرگ سایبری علیه شبکه‌های شرکت‌های بزرگ بود که از روش‌های مشابهی همچون حمله ExPetr استفاده کرد.

آخر هفته

موج وحشت از واناکرای

اما یک باج‌افزار در سال گذشته به نسبت دیگر باج‌افزارها بسیاری از کشورهای دنیا را آماج حملات خرابکارانه سایبری خود قرار داد؛ واناکرای. گسترش باج‌افزار واناکرای از ماه مه‌میلادی گذشته آغاز شد. بر اساس برآوردها بیش از ۲۰۰ هزار رایانه در ۱۵۰ کشور جهان موردحمله‌ باج‌افزار واناکرای واقع‌ شدند. این حمله سایبری، چند شرکت در اسپانیا مانند تلفونیکا و همچنین «سازمان ملی تامین بهداشت و درمان بریتانیا، فدکس و دویچه‌بان را تحت تأثیر قرار داد. اهداف دیگر نیز در حدود ١٥٠ کشور همزمان گزارش شده‌اند. بالغ بر یک هزار رایانه در وزارت کشور، وزارت بحران و شرکت مخابراتی مگافون روسیه نیز گزارشی مبنی بر آلودگی دادند. همچنین محققان امنیت سایبری مدارکی را دال بر این موضوع کشف کردند که ممکن است کره شمالی با حمله بین‌المللی واناکرای به‌عنوان باج‌افزار در ارتباط باشد. این حمله سایبری در این ماه 300 هزار رایانه در ۱۵۰ کشور دنیا را مبتلا کرد. اما دولت پیونگ‌یانگ چنین ادعایی را «مسخره» خوانده است. باج‌افزار WannaCry پس از دستیابی به رایانه‌ها، درایو دیسک سخت این رایانه‌ها را رمزگذاری می‌کرد و سپس برای سوء‌استفاده از آسیب‌پذیری به شبکه‌ها به‌صورت تصادفی در رایانه‌های متصل به اینترنت و همچنین بین رایانه‌های روی شبکه محلی وارد عمل می‌شد.

باج‌افزار کسپرسکی

کسپرسکی نیز در زمره باج‌افزارهای معروف در سال 2017 میلادی بود که کمپانی‌های بزرگ جهان از روسیه تا آمریکا آماج حملات خود قرار داد.  این باج‌افزار که تنها 80 کمپانی را در روسیه و اوکراین از کار انداخت، با قفل کردن رایانه‌ها درخواست ارسال 300 دلار باج با واحد پول مجازی بیت کوئین از قربانی می‌کرد. گروه امنیتی IB در روسیه تایید کرد 80 کمپانی روسی و اوکراینی تاکنون قربانی شدند و در مجموع این باج‌افزار با سوء‌استفاده از حفره‌ای در ویندوز به نام EternalBlue خود را روی شبکه می‌گستراند.  این باج‌افزاربخشی از ابزار هکری بود که آژانس امنیت ملی آمریکا با استفاده از آن قربانیان را هک می‌کرده است.  اوکراین بیشترین ضرر را از این باج‌افزار دید و تایید کرد که بانک مرکزی این کشور در اثر این حمله بدافزاری دچار بحران شد. به گفته کارشناسان سیسکو، این باج‌افزار ابتدا نرم‌افزار اوکراینی MeDoc ( برنامه مالی) را آلوده و سپس مشتریان را نیز قربانی خود کرد. سپس سیستم مترو و سیستم تولید برق چرنوبیل اوکراین نیز مختل شد. کمپانی هلندی Maersk، کمپانی نفت و گاز Rosneft روسیه و Merck در آمریکا قربانیان دیگر این باج‌افزار بودند.

آخر هفته

تای رنت و باج ۱۵ دلاری

افزایش تعداد کاربران تلگرام در سال میلادی گذشته نیز باعث شد که برخی از باج‌افزارها در این پیام‌رسان اجتماعی فعال شوند. باج‌افزار TYRANT از جمله آنها بود که با قفل کردن دسترسی به سامانه‌های قربانی و رمزکردن فایل‌های سیستم، اقدام به مطالبه ۱۵ دلار باج به شکل ارز الکترونیکی می‌کرد و از بستر غیر قابل پیگیری تلگرام و ایمیل برای برقراری ارتباط با قربانی و بررسی پرداخت باج، سود می‌جست. در ایران نیز گزارش‌ها نشان داد که روش انتشار این باج‌افزار استفاده از پوشش فیلترشکن سایفون بود و از طریق شبکه‌های اجتماعی آنها را تشویق به دریافت و اجرای فایلی اجرایی با ظاهر سایفون می‌کرد که در حقیقت حاوی بد‌افزار بود. روش انتقال باج که این باج‌افزار از آن استفاده می‌کرد، Web money بود که سازنده باج‌افزار، مدت ۲۴ ساعت فرصت برای پرداخت باج، در نظر می‌گرفت. به منظور راهنمایی قربانی، آدرس تعدادی از وب سایت‌های فارسی ارائه‌کننده این نوع از ارز الکترونیکی توسط باج‌افزار معرفی می‌شد.

باج‌افزار زئوس در تلگرام

در ماه‌های پایانی سال 2017 اما باج‌افزار اندرویدی دیگری که گونه‌ای از باج‌افزار زئوس به حساب می‌آمد با سرعت بالایی در پیام‌رسان تلگرام و وب سایت‌ها نفوذ کرد. این باج‌افزار با نفوذ به تلگرام که منشا کاربری بسیاری از ایرانیان است به کانال‌های تلگرامی نفوذ کرد. براساس تحقیقات انجام شده، کانال‌ها و گروه‌هایی ایجاد شد که در آنها بدافزارها به فروش می‌رفت. رایج‌ترین این برنامه‌ها، بدافزارهای روسی بودند که کد آنها به افراد مختلف فروخته می‌شد و آنها نیز با داشتن اندک دانش برنامه‌نویسی قادرند برنامه را تغییر داده و به‌صورت بدافزار ایرانی، تحت عناوین مختلفی از کاربران سوءاستفاده می‌کردند. بررسی‌های مرکز ماهر نشان می‌دهد باج‌افزار موردنظر، که خود را نوعی از باج‌افزار زئوس معرفی می‌کرد، در کانال‌های تلگرامی فعالیت داشت.

تحقیقات در‌باره انواع باج‌افزارها و قربانیان آن اما نشان داد که در میان قربانیان باج‌افزارهای رمزنگار، سیستم‌های بسیاری بودند که در برابر باج‌افزارها هیچ‌گونه محافظتی را در نظر نگرفته ‌بودند، فقط به این دلیل که هرگز تصور نمی‌کردند قربانی باج‌افزارها شوند. برخی از این سیستم‌ها، قربانی پنل‌های اطلاعاتی و دستگاه‌های فروش بودند. هیچ‌چیز در آن دستگاه‌ها برای رمزنگاری وجود ندارد و هیچ‌کسی برای بازگشایی رمز آنها باج پرداخت نمی‌کند. بنابراین توصیه می‌شود هنگامی که آپدیت نرم‌افزارها منتشر می‌شوند فورا آنها را اعمال کنید؛ به‌ویژه اگر آپدیت‌های امنیت باشند.