باج افزار جدیدی با نام Ryuk در حال انتشار است که طبق گزارشها، مهاجمان توانستهاند بیش از ۶۴۰ هزار دلار بصورت ارز بیت کوین را با استفاده از آن بدست آورند. حملات این باج افزار برای اولین بار در روز دوشنبه ۲۲ مرداد ماه، مشاهده شده است. بنظر می رسد که باجافزار، شرکتهای بخصوصی را مورد هدف قرار داده است اما نحوه انتشار آن نامعلوم است. اما بر خلاف این گزارشات، محققان امنیتی از شرکتهای مختلف، موفق به شناسایی نحوهی گسترش این باج افزار و قربانیانی که سیستم های آنها دچار آسیب پذیری شده بود، نشدند.
پژوهشگران حدس میزنند که باجافزار از طریق ایمیلهای فیشینگ و یا اتصالات RDP (پروتکل اتصال به دسکتاپ از راه دور) ضعیف گسترش یافته باشد. هرچند محققان نتوانستند به طور دقیق نقطهی ورودی این آلودگی را هنوز شناسایی کنند.
Mark Lechtik محقق امنیتی در طی یک مکالمهی شخصی با وبلاگ خبری Bleeping Computer گفته است که؛ با توجه به چیزی که ما اکنون شاهد آن هستیم، حملات این باج افزار اصولاَ هدفمند است. دلیل این امر این است که بدافزارهای مخرب برای اجرا شدن به Admin Privileges نیاز دارند و به طور خودکار نمیتوانند به آن دست پیدا کنند.
وی افزود، برای اجرا شدن آن باید سطح دسترسی را بدست بیاورید، اما هیچ آرتیفکتی برای اجرا شدن بدافزار مخرب وجود ندارد. باجافزار Ryuk به نوعی با باجافزار Hermes در ارتباط است. بنظر میرسد که نویسندگان این دو باجافزار یکی باشند و یا نویسنده Ryuk به کد منبع Hermes دسترسی پیدا کرده باشد. پیش از این براساس گزارشات BAE System در اکتبر سال ۲۰۱۷ مشخص شد که باجافزار Hermes در ارتباط با گروه مجرمین سایبری Lazarus یک واحد جاسوسی سایبری دولتی بوده است که قبلا با ارتش کرهی شمالی نیز ارتباط داشته است.
در آن زمان، محققان بر این باور بودند که گروه Lazurus باج افزار Hermes را بر روی شبکهی FEIB بانک بین المللی تایوان مستقر کرده است، تا بتواند از طریق حملات سایبری ۶۰ میلیون دلار از حساب بانکیها را به سرقت ببرند. اما Hermes به عنوان یک عامل انحرافی برای به سرقت بردن از بانک تایوان، یک ابزار کاملا کاربردی و مرگبار به حساب می آید.
Fabian Wosar محقق شرکت Emsisoft ، Hermes را پس از کشف آن در فوریه سال ۲۰۱۷ در جریان مستقیم Youtube قرار داد. نسخههای مختلف Hermes در گذشته منتشر شدهاند که نسخه اولیه آن در فوریه ۲۰۱۷ و نسخه ۲،۱ آن در نوامبر ۲۰۱۷ مشاهده شده و نسخه آخر Hermes نیز موازی با Ryuk در حال انجام فعالیت است. نسخهی دوم Hermes در مقابل نسخهی قبلی قرار گرفت با این تفاوت که قابل رمزگشایی نبود.
نسخه ی ۲٫۱ Hermes در نوامبر سال ۲۰۱۷ ، پس از سرقت از بانک FEIB نمایان شد. و طبق گزارشات بعدی آزمایشگاه Intezer مشخص شد که شباهتهایی بین کدهای باج افزار Hermes در نسخه ی ۲٫۱ ، و باج افزار قبلی Lazarus وجود دارد. نسخه ی ۲٫۱ Hermes تا به امروز باقی مانده است و به نظر می رسد با باج افزار تهدیدی جدید Ryuk هم تراز است. تفاوت این دو باجافزار در اهداف آن است که Hermes بصورت گسترده منتشر شده اما Ryuk اهداف از پیش انتخاب شده را مورد حمله قرار داده است.
شباهتهای قابل توجه این دو باج افزار Ryuk و Hermes به وضوح مشخص است.
محققان امنیتی شرکت Checkpoint که انواع باج افزارهای اخیر Ryuk را مورد تحلیل و بررسی قرار داده است، برخی از شباهتها و ارتباطات کاملاَ واضح را بین نسخههای Hermes و نمونهی جدید Ryuk نشان میدهد که هردوی آنها طیف گستردهایی از کدها را به اشتراک می گذارند.
- تابع کدگذاری فایلها در هردوی آنها یکسان است.
- Ryuk و Hermes هردو از نشانگر فایلهای رمزنگاری شده استفاده می کنند.
- بررسی نشانگر فایل در هردو یکسان است.
- فولدر وایت لیست در هردو یکسان است. (مانند: Ahnlab-Microsoft-$Recyclebin)
- هردوی آنها از اسکریپتهای مشابه برای حذف فایلهای پشتیبان و Shadow Volumes استفاده می کنند.
- در هردوی آنها، در نهایت فایلها به دیسکی با نام و هدف مشابه انتقال داده می شوند.
نسخههای ۳۲ بیتی و ۶۴ بیتی باجافزار Ryuk کشف شدهاند و این امر نشان میدهد که این بدافزار قابلیت آلودهسازی تمامی سیستمها را دارا است. شباهتهای موجود در کدهای این باجافزار و Hermes در هر دو نسخه قابل مشاهده است. این باجافزار دارای قابلیتهایی است که میتواند بیش از ۴۰ فرایند پردازشی و ۱۸۰ سرویس را با دستور taskkill متوقف کند. لیست سرویسها و فرایندهای پردازشی در یک لیست از پیش تعیین شدهاند.
اما هم چنان تفاوتهایی نیز وجود دارد که یکی از اصلی ترین آنها، که توسط شرکت امنیتی Checkpoint و Malware Hunter مشخص شده این است که باج افزار Ryuk قبل از آنکه سیستم قربانی را آلوده کند، تمامی برنامه و خدمات سیستم را متوقف می کند.
علاوه بر این، ماهیت اهداف باج افزار Ryuk هرگز مشخص نیست. شرکت امنیتی Checkpoint اعلام کرده است که، چندین نمونه از Ryuk کشف شده است که پیام هایی را برای درخواست باج ارسال می کنند. نکته قابل توجه در این باجافزار، پیام باج آن است که در سیستمهای مختلف پیامهای باج مختلفی قرار داده شده است. بنظر میرسد که باجافزار با توجه به شناسایی قابلیت پرداخت هدف مورد نظر، پیامهای مختلفی برای دریافت مقادیر متفاوت درخواست میکند. در یکی از این پیام ها از قربانی خواسته شده بود که برای ارتباط با نویسندهی Ryuk تنها از طریق ایمیل، ارتباط برقرار کند.
بیشتر درخواست های باج این باج افزار ۵۰ بیتکوین معادل ۳۲۰۰۰۰ دلار و کمترین آنها ۱۵- ۳۵ بیت کوین معادل ۲۲۴۰۰۰ دلار بوده است. Lechtik به وبلاگ خبری Bleeping Computer اعلام کرده است که ؛ جمع آوری این جزییات باعث بوجود آمدن این فرضیه می شود که Ryuk پس از آلوده شدن شبکه توسط هکرها ، گسترش پیدا می کند نه از طریق ایمیل اسپم ها.
Checkpoint هم چنین یادآور شد که؛ ممکن است ۲ سطح تهاجمی برای آن وجود داشته باشد. باند Ryuk ممکن است نمونههای متفاوتی از Ryuk را طراحی کرده و آن را بر روی سازمانهای بزرگ گسترش بدهند تا باج بالایی را دریافت کنند.
متاسفانه با توجه به استفاده ترکیبی از الگوریتمهای AES و RSA در این باجافزار، در حال حاضر امکان رمزگشایی فایلهای آلوده شده توسط آن وجود ندارد.
بیشتر بخوانید:
-
تلگرام و موج جدید هک اکانت های آن – آموزش نحوهی محافظت از حساب کاربری خود
-
خرید از دارک وب و معرفی مارکت های معروف آن
-
بیت کوین به ۹۳۰۰ دلار و اتریوم به ۶۰۰ دلار رسید.
-
NSA تجسس در ضبط مکالمات تلفنی را سه برابر کرد به ۵۳۴ میلیون مورد رسید.
-
بهترین مکمل های آنتی ویروس برای امنیت بیشتر و جلوگیری از هک