باج‌افزاری که در ایران اجرا نمی‌شود!

بر اساس گزارشی که دو شرکت مک‌آفی و رکوردد فیوچر آن را منتشر کرده‌اند باج‌افزار Kraken مجهز به بسته بهره‌جوی جدید Fallout شده است.

به گزارش شرکت مهندسی شبکه گستر، Fallout نخستین بار حدود دو هفته قبل توسط یک محقق امنیتی شناسایی شد. این بسته بهره‌جو، از آسیب‌پذیری CVE-2018-8174 در بخش مدیریت‌کننده کدهای VBScript و از آسیب‌پذیری CVE-2018-4878 در محصول Adobe Flash Player سواستفاده کرده و کد مخرب مورد نظر مهاجمان را بر روی دستگاه قربانی به‌صورت از راه دور نصب و اجرا می‌کند.

مهاجمان معمولا بسته‌های بهره‌جو را در سایت‌های با محتوای جذاب یا سایت‌های معتبر هک شده تزریق می‌کنند تا از این طریق در زمان مراجعه کاربر به سایت از آسیب‌پذیری‌های موجود در سیستم عامل و نرم‌افزارهای نصب شده بر روی دستگاه سواستفاده شود.

Fallout در ابتدا تلاش می‌کند تا از آسیب‌پذیری VBScript بهره‌جویی کند. در صورت آسیب‌پذیر نبودن آن (به دلیل نصب بودن اصلاحیه مربوطه) و یا غیرفعال بودن VBScript به سراغ بهره‌جوی دوم به منظور سواستفاده از نرم‌افزار Flash Player می‌رود.

Kraken از جمله باج‌افزارهایی است که در قالب خدمات موسوم به باج‌افزار به‌عنوان سرویس عرضه می‌شود.

در خدمات باج‌افزار به‌عنوان سرویس (Ransomware-as-a-Service) – به اختصار RaaS -، صاحب باج‌افزار، فایل مخرب را به‌عنوان یک خدمت به متقاضی اجاره می‌دهد. متقاضی که ممکن است در برنامه‌نویسی تخصصی نداشته باشد تنها وظیفه انتشار باج‌افزار را بر عهده دارد. در نهایت بخشی از مبلغ اخاذی شده از قربانی به نویسنده و بخشی دیگر به متقاضی می‌رسد.

سرویس RaaS باج‌افزار Kraken نخستین بار در ماه آگوست در یک تالار گفتگوی اینترنتی روسی زبان تبلیغ شد.

با پرداخت 50 دلار، نسخه‌ای از باج‌افزار Kraken در اختیار متقاضی قرار می‌گیرد. با هدف جلوگیری از شناسایی شدن توسط محصولات ضدویروس، هر 15 روز یکبار نیز نسخه جدیدی از باج‌افزار منتشر و قابل استفاده می‌شود. همچنین متقاضیان با عضویت در RaaS باج‌افزار Kraken از خدمات پشتیبانی 24/7 بهره‌مند می‌شوند. در عوض در صورت پرداخت باج توسط قربانی، 20 درصد از آن به نویسندگان اصلی Kraken تعلق می‌گیرد.

متقاضی مختار خواهد بود که مبلغ اخاذی را در بازه 0.075 تا 1.25 بیت‌کوین، خود، تعیین کند.

اهداف اصلی Kraken دستگاه‌های با هر یک از نسخه‌های 8، 8.1 و 10 سیستم عامل Windows اعلام شده است.

ارتباطات بین قربانی و انتشاردهنده باج‌افزار صرفا از طریق ایمیل انجام می‌شود. ارسال ابزار رمزگشایی نیز منوط به پرداخت 20 درصد از هزینه اخاذی شده توسط متقاضی است.

Kraken همانند بسیاری از باج‌افزارهای با اصالت روسی هیچ قربانی در کشورهای عضو سابق اتحاد جماهیر شوروی – احتمالا با این هدف که گرفتار قوانین مشترک بین این کشورها نشود – نمی‌گیرد. نکته جالب اینکه علاوه بر این کشورها، نام دو کشور ایران و برزیل و همچنین در نسخه جدید آن سوریه هم در فهرست سفید این باج‌افزار به چشم می‌خورند.

مشروح گزارش شرکت‌های مک‌آفی و رکوردد فیوچر در لینک زیر قابل دریافت و مطالعه است.

https://securingtomorrow.mcafee.com/mcafee-labs/fallout-exploit-kit-releases-the-kraken-ransomware-on-its-victims