پس از آنکه ویروس رایانهای موسوم به خرگوش بد (Bad Rabbit) به بسیاری از شرکت ها، موسسات و بانکهای اروپا و سایر نقاط جهان حمله کرد، گزارش ها حاکی از آن است که بدافزار و ویروس رمزگزاری شده دیگری در پشت پرده این حملات سایبری، اطلاعات محرمانه و مالی بسیاری از موسسات مالی و بانکی اوکراین را نشانه گرفته و به آنها آسیب رسانده است.
طبق اطلاعات منتشر شده همزمان با حملات سایبری موسوم به خرگوش بد، بسیاری از شرکت ها و موسسات مالی در اوکراین تحت تاثیر و حملات کمپین های فیشینگ بدافزارهای دیگری قرار گرفته اند.
چند روز پیش بود که آزمایشگاه کاسپرسکی اعلام کرد که بدافزار خرگوش بد تاکنون ۲۰۰ حمله سایبری را در سراسر جهان انجام داده است. طبق اعلام این شرکت، این حمله از طریق یک آپدیت جعلی نرم افزار Adobe Flash انجام شده و تاکنون هم حملات سایبری بسیاری از آن گزارش شده است.
Bad Rabbit یک ransomware می باشد که به تازگی گزارش هایی از آن اعلام شده است! در سال جاری سال ۲۰۱۷ همگی ما شاهد دو نوع از حمله های گسترده و بی رحم باج افزارها بودیم که مهاجمین آن ها را با نام های واناکرای و ExPetr معرفی نمودند. اینطور که به نظر می رسد این حملات ادامه دارند و سومین حمله ی گسترده در حال رشد است. بدافزار جدیدی که به تازگی شناسایی شده است Bad Rabbit نامیده شده و این نام توسط وب سایت darknet به این باج افزار لقب داده شده است. این باج افزار بتازگی به تعدادی از سیستم های برجسته روسیه و اوکراین ضربه ی سختی وارد نموده و تا به حال توانسته است چندین رسانه ی بزرگ را در روسیه آلوده کند. خبرگزاری اینترفاکس و Fontanka.ru نیز از بین قربانیان این باج افزار بوده اند.
فرودگاه بین المللی Odessa بر روی سیستم اطلاعاتی خود یک حمله ی سایبری گزارش داده که البته نوع این حمله همچنان مشخص نیست، اما متخصصان امنیتی به Bad Rabbit مشکوک هستند.
مجرمان پشت حمله ی Bad Rabbit خواستار ۰٫۰۵ بیت کوین به عنوان باج درخواستی از قربانیان بودند که این رقم بیت کوین معادل ۲۸۰ دلار در نرخ ارز فعلی می باشد.
دامی که مجرمان در این حمله برای کاربران گذاشته اند مربوط به فایل Adobe Flash می باشد. در این حمله قربانیان به صورت اتفاقی Adobe Flash را دانلود و نصب کرده و سپس فایل .exe را به صورت دستی راه اندازی میکنند. بله همانطور که تصور می کنید این پایان ماجرا است و در همین مرحله سیستم کاربران دچار آلودگی می شود.
این اینستالر جعلی فلش، لودر باج افزار را در یک فایل زیپ قرار میدهد که پس از اجرا شدن این فایل، فایل اصلی باج افزار عملیات خود را آغاز میکند.
لودر باج افزار که در قسمت بالا به آن پرداختیم، دارای تقریبا شش ابزار ZLIB-compressed (فشرده ساز) است که از آنها برای رمزگذاری و توسعه همراه با هم استفاده میکند.
آنچه که از تحقیقات انجام شده بدست آمده نشان می دهد که این باج افزار از لحاظ ساختار و نوع تمرکز به شدت به GoldenEye / NotPetya شباهت دارد.
این پروژه ی جدید بدلیل اجرای Mimikatz به شدت ویروسی است، بطوریکه پس از آلوده کردن یک ایستگاه کاری به راحتی میتواند به سازمان دیگری نیز منتقل شود.
و همچنین بدلیل استفاده از DiskCryptor در رمزگذاری فایل ها، ممکن است با فرایند بوت سیستم تداخل ایجاد کند و مانع از راه اندازی سیستم شود.
- Log in to post comments