باج افزار snatch با ریبوت سیستم در حالت safemode امنیت سیستم شما را به خطر می اندازد

   نویسنده: زهرا ضمیری
                               سه شنبه، 24 آذر 1398       مدت زمان مطالعه: 10 دقیقه

باج افزار snatch برخلاف انواع دیگر خود ، فایل های موجود در شبکه های آلوده را به سرقت می برد . سازندگان این باج افزار از ترفندی نوین برای دور زدن آنتی ویروس ها و رمز کردن داده های قربانیان بدون شناسایی شدن استفاده می کنند. این باج افزار با ریبوت کردن سیستم قربانی، فرآیند رمز کردن داده ها را در حالت safe mode اجرا می کند. دلیل این امر این است که اکثر برنامه های آنتی ویروس در حالت safe mode ( حالتی از سیستم عامل به منظور خطایابی و بازیابی ویندوز ) اجرا نخواهند شد .


با این حال، سازندگان snatch کشف کردند که آنها می توانند از یک کلید رجیستری برای برنامه ریزی یک سرویس ویندوز به منظور شروع در حالت safe mode استفاده کنند که این سرویس برنامه باج افزار را در حالت safe mode بدون خطر شناسایی توسط آنتی ویروس و توقف فرآیند آن اجرا خواهد کرد .

اما خطرناک ترین قسمت این حمله این است که این باج افزار خودش را به عنوان یک سرویس که حتی در حالت ریبوت safe mode اجرا می شود تنظیم می کند و سپس سیستم را ریبوت می کند، که در نهایت باعث خنثی کردن عمل بسیاری از ابزار های امنیتی خواهد شد.

 

Ransomware Attack

این ترفند توسط تیم متخصص آزمایشگاه Sophos ، که درحال تحقیق بر روی یک باج افزار بودند، شناسایی شد . تیم تحقیقاتی آنها می گوید این یک خطر بزرگ است! و به خوبی می تواند توسط بقیه باج افزار ها هم مورد استفاده قرار گیرد .
این تیم پیش بینی می کنند که امکان افزایش شدت این تهدید بیش از این ممکن نیست و لازم است که این اطلاعات را به‌عنوان هشداری برای دیگر سازمان های امنیتی و همچنین کاربران منتشر کنند .

Snatch ، یک شکارچی بازی بزرگ دیگر

محققان آزمایشگاه Sophos می گویند که این روش آخرین حقه سازندگان این باج افزار است و اولین آن نیز نیست. این نوع بخصوص باج افزار، از تابستان 2018 در حال فعالیت بوده است ، اما متاسفانه تا به امروز افراد کمی درباره آن شنیده اند . این امر به این دلیل رخ داد که سازندگان این باج افزار هرگز کاربران خانگی را مورد حمله قرار ندادند و هیچوقت از روش های انتشار انبوه به‌صورت اسپم یا اکسپلویت های مرورگر (دو روش که بسیار توجه نهاد های امنیتی را جلب می کند) استفاده نکردند. در عوض تنها به سراغ لیست کوچکی از اهداف مورد نظر خود مانند شرکت ها و سازمان های دولتی رفتند.

این روش هدف گذاری که در دنیای امنیت سایبری با نام “شکارچی بازی بزرگ” شناخته می شود امروزه توسط بسیاری از باج افزار ها استفاده می شود.ایده پشت این روش ازین قرار است که به جای دنبال کردن اهداف کوچک و کاربران خانگی، به سراغ اهداف بزرگ مانند سازمان های دولتی و شرکت های بزرگ که می‌توانند هزاران برابر بیشتر از آن‌ها درخواست باج کنند بروند . باج افزار هایی مانند Ryuk, SamSam, Matrix, BitPaymer, LockerGoga نیز جزوی از شکارچیان بازی بزرگ هستند .

تیم Snstch هکر ها را در فروم ها شناسایی و استخدام می کنند

تمامی گروه های باج افزاری که در بالا ذکر شد روش مخصوصی را برای نفوذ به شبکه های مورد نظر خود دارند مانند باج افزار snatch .طبق گفته Sophos، که تبلیغات این گروه را ردیابی کرده اند سازندگان این باج افزار، در فروم های هک ، آگهی های تبلیغاتی برای استخدام شرکا برای این طرح منتشر می کردند .تیم باج افزار snstch به دنبال شرکایی با دسترسی به RDP\VNC\TeamViewer\WebShell\ در شبکه شرکت ها، فروشگاه ها و دیگر سازمان ها بودند .

تیم Sophos می گوید که تیم snatch دسترسی به یک شبکه هک شده را خریداری می کند، یا با یک هکر دیگر کار می کند تا به یک شرکت مورد نظر نفوذ کند. بعد از آن، معمولا فورا وارد عمل نمی شدند تا باج افزار را نصب و فایل ها را رمز کنند.. در عوض، در داخل یک شرکت هک شده چند روز و یا حتی چند هفته باقی می‌ماندند .هکرها تا رسیدن زمان مورد نظر خود منتظر می مانند و به آرامی دسترسی خود را به کنترلکنندههای دامنه داخلی افزایش می دهند، جایی که تا حد امکان به تعداد زیادی از کامپیوترها در شبکه داخلی نفوذ کنند.

برای انجام این کار،باج افزار snatch از ابزار مدیریت قانونی و ابزار تست نفوذ برای رسیدن به هدف خود (ابزارهایی مانند حمله Cobalt، اسکنر پیشرفته پورت، Hacker Process، IObit و psexec) استفاده می کند. از آنجا که این‌ها ابزارهایی معمولی هستند، اغلب محصولات آنتی‌ویروس هیچ هشداری نخواهند داد.
زمانی که باج افزار snatch تمام دسترسی ها را داشته باشد،کلید رجیستری و سرویس ویندوز را اضافه میکنند ، در حالت safe mode روی همه میزبان های آلوده اجرا می شود و باعث راه اندازی مجدد همه ایستگاههای کاری که فرآیند رمزنگاری فایل را آغاز میکنند ، خواهد شد.

دزدی اطلاعات مشتریان

علاوه براین، Sophos شواهدی پیدا کرده که برخلاف اکثر انواع دیگر باج افزاها که در درجه اول بر روی رمز گذاری فایلها تمرکز دارند و درخواست باج میکنند ، باج افزار snatch در سرقت داده ها نیز مشارکت دارد.این امر، پرسنل snatch را منحصر به فرد و بسیار خطرناک ساخته است ، چرا که شرکتها نیز در مقابل از دست دادن اطلاعات خود در آینده ، حتی اگر هزینه پرداخت باج را پرداخت کرده و فایلهای خود را تخلیه کنند، ایستادگی میکنند.

این نوع رفتار بسیار غیر معمول است و احتمالا در بالای لیست خطرناکترین گونه های باج افزار امروزی قرار خواهد گرفت.اما هدف گذاری بر روی شرقت فایل های یک شبکه داخلی زمان میبرد، این دلیلی است که نشان می‌دهد چرا snatch به اندازه دیگر باندهای “شکارچی بازی بزرگ” قربانی ندارد، تعداد قربانیان باج افزار snatch بسیار کم است.

طبق تحقیقات Sophos، شرکت ها و سازمان های مختلف به طور خصوصی برای ازبین بردن آلودگی این باج افزار در ۱۲ موقعیت بین ژوئیه و اکتبر ۲۰۱۹ به سازندگان باج افزار باج افزار snatch پول پرداخت کرده اند. و این پرداختها از ۲،۰۰۰ تا ۳۵،۰۰۰ دلار بودند. Sophos توصیه می کند که شرکتها باید دارای مراکز و خدماتی در اینترنت باشند که رمزهای عبور قوی یا تایید اعتبار چند عاملی را برای سازمان آنها ایجاد کنند.

پرولاین به تمامی سازمان ها و شرکت های معتبر پیشنهاد می کند که با توجه به گسترش روزافزون حملات هکر ها و باج افزار و نتایج مخربی که این حملات در پی داشته، هر چه بیشتر به امنیت سازمان خود بهپردازند و با استفاده از محصولاتی مانند آنتی ویروس ها، محصولات جلوگیری از نشر اطلاعات و فایروال ها و … هرچه بیشتر به افزایش امنیت سازمان خود بپردازند. 

در جهت بهبود امنیت سازمان خود با ما تماس بگیرید 

منبع: ZdNet.com

 

دیدگاهتان را بنویسید

Time limit is exhausted. Please reload the CAPTCHA.

There are no products