انتشار باجافزار Kraken Cryptor از طریق بسته بهرهجوی Fallout
مهاجمان با بکارگیری بسته بهرهجوی Fallout در حال انتشار حداقل دو نسخه از باجافزار Kraken Cryptor هستند. این در حالی است که تا پیش از این، GandCrab تنها باجافزار شناخته شدهای بود که از Fallout بهمنظور رخنه به سیستمها و رمزگذاری فایلهای آنها بهره میگرفته است.
Kraken Cryptor از جمله باجافزارهایی است که در قالب خدمات موسوم به “باجافزار بهعنوان سرویس” عرضه میشود. در خدمات “باجافزار بهعنوان سرویس” (Ransomware-as-a-Service) – به اختصار RaaS -، صاحب باجافزار، فایل مخرب را بهعنوان یک خدمت به متقاضی اجاره میدهد. متقاضی که ممکن است در برنامهنویسی تخصصی نداشته باشد تنها وظیفه انتشار باجافزار را بر عهده دارد. در نهایت بخشی از مبلغ اخاذی شده از قربانی به نویسنده و بخشی دیگر به متقاضی میرسد.
با توجه به این سیستم بهاشتراکگذاری، بدیهی است که باجافزار در اختیار مهاجمان متعددی است که هر یک از روشهای خاص و ویژه خود برای انتشار آن استفاده میکنند.
برای مثال، ماه گذشته گروهی از این تبهکاران با هک سایت Superantispyware.com، فایل مخرب Kraken Cryptor را در قالب فایل نصاب برنامه امنیتی SuperAntiSpyware منتشر کردند.
اکنون نیز گروهی از مهاجمان از بسته بهرهجوی Fallout برای انتشار نسخههای 1.5 و 1.6 این باجافزار استفاده کردهاند.
به گزارش شرکت مهندسی شبکه گستر، مهاجمان با تزریق کدهای مخرب در سایتهای هک شده کاربران را در زمان مراجعه به این سایتها به صفحهای هدایت میکنند که در آن بسته بهرهجوی Fallout میزبانی شده است.
بهمحض نصب شدن باجافزار، رمزگذاری فایلهای دستگاه آغاز میشود. بر خلاف نمونههای پیشین که به فایلهای رمزگذاری شده، پسوند Lock.onion الصاق میشد در این نمونه، نام و پسوند فایلهای رمزگذاری شده به رشتههایی تصادفی تغییر داده میشود.
اطلاعیه باجگیری این باجافزار How to Decrypt Files-[extension].html# نام دارد و در آن از قربانی خواسته میشود تا برای دریافت دستورالعمل پرداخت باج از طریق یکی از نشانیهای زیر با مهاجمان ارتباط برقرار کند:
- onionhelp@memeware.net
- BM-2cWdhn4f5UyMvruDBGs5bK77NsCFALMJkR@bitmessage.ch
Fallout نخستین بار حدود دو هفته قبل توسط یک محقق امنیتی شناسایی شد. این بسته بهرهجو، از آسیبپذیریCVE-2018-8174 در بخش مدیریتکننده کدهای VBScript و از آسیبپذیری CVE-2018-4878 در محصول Adobe Flash Player سواستفاده کرده و کد مخرب مورد نظر مهاجمان را بر روی دستگاه قربانی بهصورت از راه دور نصب و اجرا میکند.
همچون همیشه، برای ایمن ماندن از گزند باجافزارها، رعایت موارد زیر توصیه میشود:
- از ضدویروس قدرتمند و بهروز استفاده کنید.
- از اطلاعات سازمانی بهصورت دورهای نسخه پشتیبان تهیه کنید. پیروی از قاعده ۱-۲-۳ برای دادههای حیاتی توصیه میشود. بر طبق این قاعده، از هر فایل سه نسخه میبایست نگهداری شود (یکی اصلی و دو نسخه بعنوان پشتیبان). فایلها باید بر روی دو رسانه ذخیرهسازی مختلف نگهداری شوند. یک نسخه از فایلها میبایست در یک موقعیت جغرافیایی متفاوت نگهداری شود.
- از نصب فوری آخرین اصلاحیههای امنیتی اطمینان حاصل کنید.
- به دلیل انتشار برخی از باجافزارها از طریق سوءاستفاده از قابلیت Dynamic Data Exchange در Office، با استفاده از این راهنما نسبت به پیکربندی صحیح آن اقدام کنید.
- با توجه به انتشار بخش قابل توجهی از باجافزارها از طریق فایلهای نرمافزار Office حاوی ماکروی مخرب، تنظیمات امنیتی ماکرو را بنحو مناسب پیکربندی کنید. برای این منظور میتوانید از این راهنما استفاده کنید.
- ایمیلهای دارای پیوست ماکرو را در درگاه شبکه مسدود کنید. بدین منظور میتوانید از تجهیزات دیواره آتش، همچون Sophos بهره بگیرید.
- آموزش و راهنمایی کاربران سازمان به صرفنظر کردن از فایلهای مشکوک و باز نکردن آنها میتواند نقشی مؤثر در پیشگیری از اجرا شدن این فایلها داشته باشد. برای این منظور میتوانید از این دادهنماییها استفاده کنید.
- با مطالعه این راهنما سازمان را در برابر باج افزارهای مبتنی بر پودمان RDP ایمن نگاه دارید.
- از ابزارهای موسوم به بررسی کننده سایت استفاده شود.
- دسترسی به پوشههای اشتراکی در حداقل سطح ممکن قرار داده شود.
- سطح دسترسی کاربران را محدود کنید. بدین ترتیب حتی در صورت اجرا شدن فایل مخرب توسط کاربر، دستگاه به باجافزار آلوده نمیشود.
