اخبار

باج افزار Gandcrab در سایت‌های آسیب پذیر تجسس می‌کند

محققان Cisco Talos بسته جدیدی از باج افزار Gandcrab را شناسایی کردند که از طریق سایتهای با امنیت پایین پخش می شوند.

ماینرهای ارزهای دیجیتال می‌توانند Spotlight را سرقت کنند، زیرا  از جدیدترین روندهای جرایم سایبری می باشد. اما این مطلب بدین معنا نیست که می‌توانیم به باج افزارها توجه نکنیم. محققان Cisco Talos بسته جدیدی از باج افزار Gandcrab را شناسایی کردند که از طریق سایت‌های با امنیت پایین پخش می‌شوند.

Gandcrab به عنوان یکی از جدیدترین تهدیدات درفضای باج افزار است که به صورت یک حمله ساده آغاز شد و به سرعت همراه با نغییرات امنیتی تکامل یافت. در دو ماهه اول سال ۲۰۱۸، مهاجمان بیش از ۵۰ هزار قربانی را تحت تاثیر قرار دادند و بیش از ۶۰۰ هزار دلار درآمد به دست آوردند.

محققان Talos در حال تحلیل یک کمپین هرزنامه پی بردند که یک سری از سایت‌های ضعیف در حال پخش گندگرپ هستند و به تلاش خود ادامه دادند تا چهار کمپین متفاوت در مدت یک هفته شناسایی کردند. کمپین اول در ۳۰ آوریل آغاز شد. یک فایل ZIP که حاوی یک فایل ورد بود که باج افزار را دانلود و اجرا می کرد. این ایمیل‌های حاوی VBScript یا فایل های ZIP هستند، اما همیشه نتایج مشابهی دارند.

محقق حوزه تهدید Talos با نام نیک بیاسینی بیان می کند “یک قسمت جالب از این کمپین مربوط به ابزار مورد استفاده برای دانلود Gandcrab است. چندین روش برای انجام این کار توسط ماکروها وجود دارد، اما مهاجمان از شناسه.exe  استفاده می کنند که یک خط دستور است که به صورت بخشی از خدمات تائید شده نصب شده است.

چند روز بعد کمپین دوم آغاز شد. موضوع – محتوا و ضمیمه ها بسیار شبیه به کمپین اول بودند. ولی موقعیت Payload تغییر کرده بود. محققان نیم نگاهی به DNS انداختند و متوجه شدند که این باج افزار از یک سایت قانونی پخش شده است که در حال اجرای PHP MyAdmin بوده است و دارای مواردی از اشکالات MySQL پیش فرض بوده است. وب سایت بعد از فاصله زمانی کمی بعد از کشف این باج افزار مختل شد و این مطلب توسط محققان در بلاگ پست شد.

کمپین سوم در حال دانلود Gandcrab از یک سایت قدیمی و آسیب پذیر وردپرس یافت شد. کمپین چهارم نیز در همین وب سایت با یک رویکرد دیگر مطرح شد. گاهی اوقات مهاجمان حتی بعد از اختلال به همان سایت بر می گشتند. این الگو نشان می‌دهد که مهاجمان تلاش زیادی برای انحصار کمپین خود انجام نمی‌دهند.

بیاسینی می گوید: پخش این باج افزار یک مشکل اصلی برای تجارت‌هایی مثل شرکت های وب سایتی است. بسیاری از صفحات وب در اینترنت بر روی نرم افزار منسوخ اجرا می شوند و بسیاری از تجارت‌ها در مورد پخش این بدافزار اطلاعاتی ندارند. حتی اگر این شرکت ها اطلاع داشته باشند، مهارت یا زمان برای به روز رسانی نرم افزار ندارند.

ساخت یک وب سایت بر اساس چارچوب‌های متعدد مثل وردپرس، جومالا و دروپال کار ساده ای است .” چالش موجود این است که بسیاری از افرادی که وب سایت‌های کوچک تجاری می سازند آگاهی ندارند که این نرم افزار نیازمند به روز رسانی است و ثانیا در صورت اطلاع داشتن، دانش یا زمان انجام این کار را ندارند.”

این نسخه خاص از گرندکرب مباحثی را در مورد چگونگی به روز رسانی بدافزار و مشارکت فعال سازنده در توسعه از سرگیری جدید ایجاد کرده است. بیاسینی بیان می کند که “سازندگان باج افزار به طور مرتب در حال ایجاد تغییر و به روز رسانی هستند.”

مهاجمان به نفوذ در وب سایت ها ادامه می دهند زیرا در زمان، هزینه مرتبط با ثبت دامنه، خرید VPS و ساختاربندی سرور برای فایل های میزبان صرفه جویی می‌کنند. همچنین، مهاجمان شهرت سایت را هم به دست می آورند که این عامل می تواند به افت  سیستم‌های قرار گرفته در لیست سیاه کمک کند.

تجارت‌ها می‌توانند خود را از طریق بسته بندی نرم افزارهای خود و بخصوص تمام ورودهای سایت محافظت کنند. فراتر از این مطلب این است که بیاسینی، امنیت در پرتال های ادمین در صفحات و استفاده از رمز عبورهای قوی را پیشنهاد می کند. در یک حمله  ناشیانه، رمز عبورهای ضعیف می‌توانند منجر به خسارت و امکان دسترسی مهاجم تا زمان دریافت روز رسانی شوند.

نسرین ذاکری
نویسندهنسرین ذاکری

دیدگاهتان را بنویسید