افزایش فعالیت باجافزار Ragnar Locker
FBI با انتشار هشداری از افزایش حملاتی خبر داده که در جریان آنها مهاجمان اقدام به توزیع باجافزار Ragnar Locker در شبکه قربانی میکنند.
Ragnar Locker از جمله باجافزارهایی است که مهاجمان آن، اهداف خود را بهصورت خاص انتخاب کرده و پس از سرقت فایلها و دادههای بااهمیت اقدام به رمزگذاری و از دسترس خارج کردن فایلها میکنند. در ادامه، قربانی تهدید میشود که در صورت عدم پرداخت مبلغ اخاذیشده، اطلاعات سرقت شده به صورت عمومی منتشر و افشا خواهد شد.
نخستین نسخه از Ragnar Locker در سال 2019 شناسایی شد. در ماه آوریل سال میلادی جاری، گردانندگان Ragnar Locker پس از سرقت و رمزگذاری فایلهای یک شرکت بزرگ مبلغ 11 میلیون دلار را در ازای عدم افشای 10 ترابایت از دادههای حساس آن شرکت اخاذی کردند. به گفته FBI پس از آن اتفاق بخش سایبری این نهاد ایالات متحده فعالیتهای این بدافزار مخرب را بهشدت زیر نظر داشته است.
در هشدار FBI اشاره شده که از آن زمان تا کنون فهرست اهداف و قربانیان Ragnar Locker بهطور مستمر در حال افزایش بوده و حملات آنها شرکتهای فعال در حوزههایی همچون خدمات رایانش ابری، ارتباطات، ساختوساز، سیر و سفر و نرمافزارهای سازمانی را شامل میشده است.
به گزارش شرکت مهندسی شبکه گستر، حملات گردانندگان Ragnar Locker محدود به ایالات متحده نبوده و مواردی از هدف قرار گرفتن شرکتهای بزرگ در برخی کشورهای دیگر نیز گزارش شده است.
به نظر میرسد گردانندگان Ragnar Locker آنقدر انتشار اطلاعات رسوا کننده را ادامه میدهند تا قربانی ناچار به پرداخت مبلغ اخاذی شده شود.
بر طبق هشدار FBI گردانندگان Ragnar Locker از انواع تکنیکهای مبهمسازی (Obfuscation) بهمنظور بی اثر کردن ابزارهای امنیتی بهره میگیرند.
همچنین با راهاندازی یک ماشین مجازی با سیستم عامل Windows XP بر روی دستگاه قربانی فایلهای مخرب خود را از دید محصولات امنیتی مخفی نگاه میدارد. در تابستان امسال نیز شرکت امنیتی سوفوس خبر داد که گردانندگان باجافزار Maze از تکنیک اجرای ماشین مجازی در حملات خود بهره میبرند.
از جمله باجافزارهای مطرحی که علاوه بر رمزگذاری، دادههای قربانی را سرقت میکنند میتوان به Ako،وAvaddon،وClop،وCryLock،وDoppelPaymer،وMaze،وMountLocker،وNemty،وNephilim،وNetwalker،وPysa/Mespinoza،وRevil،وSekhmet،وSnatch و Snake اشاره کرد.
لازم به ذکر است در یک سال اخیر تعداد حملات هدفمند باجافزاری به شرکتهای بزرگ در ایران نیز افزایشی چشمگیر داشته است. متأسفانه تبعات اجرای موفق چنین حملاتی برای سازمان های قربانی بسیار پرهزینه و بعضاً جبران ناپذیر است.
موارد زیر از جمله نکاتی است که با رعایت آنها میتوان سازمان را از گزند این تهدیدات مخرب ایمن نگاه داشت:
- استفاده از رمزهای عبور پیچیده، هک نشده و غیرتکراری برای حسابهای کاربری محلی (Local) تحت دامنه (Domain) سیستم عامل و پایگاههای داده، به ویژه حسابهای با سطح دسترسی Administrator/SysAdmin
- غیرفعال کردن پودمان RDP یا حداقل تغییر درگاه پیشفرض آن
- محدود کردن سطح دسترسی کاربران
- اطمینان از نصب بودن اصلاحیههای امنیتی بر روی تمامی دستگاهها
- استفاده از ضدویروس قدرتمند و بهروز با قابلیت نفوذیاب
- استفاده از دیواره آتش در درگاه شبکه
هشدار FBI در لینک زیر قابل دریافت و مطالعه است: