انتشار شده در تاریخ 1397/10/25 - 13:21

دسترسی به شبکه آلوده فراهم شد

دسترسی به شبکه آلوده با همکاری باج‌افزارهای «Ryuk» و «Trickbot» برای نخستین بار امکان‌پذیر شد.

به گزارش کارگروه امنیت سایبربان، به نقل از افتا؛ «Ryuk» به عنوان باج‌افزاری هدفمند شناخته می‌شود که پس از شناسایی اهداف خود، از طریق سرویس‌های «Remote Desktop» یا دیگر روش‌های مستقیم، به آن‌ها دسترسی پیدا کرده، اطلاعات حساس را به سرقت برده و سپس داده‌ها و سرورهای با ارزش بالا را هدف قرار می‌دهد تا بیشترین مقدار باج ممکن را دریافت کند.

به گزارش معاونت بررسی مرکز افتا، به نقل از «BleepingComputer»، بدافزار Ryuk به دلیل تأثیر گسترده در شبکه‌هایی که آلوده می‌کند، باج‌های درخواستی بالا و همچنین گزارش‌هایی مبنی بر دریافت ۳,۷ میلیون دلار از قربانیان، از باج‌افزارهای شناخته شده و مهم است. اخیرا Ryuk در حمله‌ای استفاده شده که توزیع روزنامه‌های بزرگی چون وال استریت ژورنال، نیویورک تایمز و لس آنجلس تایمز را تحت تأثیر قرار داده است.

پژوهش‌های جدید نشان می‌دهد که عاملان حملات Ryuk ممکن است از دیگر بدافزارها برای به دست آوردن دسترسی به شبکه قربانی استفاده کنند. پژوهشگران مشاهده کرده‌اند که از بدافزار «TrickBot» برای دسترسی به شبکه‌های آلوده استفاده شده است. هنگامی که این بدافزارها، رایانه‌ای را آلوده می‌کنند، «shell» معکوسی برای دیگر مهاجمان ایجاد می‌کنند. تا آن‌ها بتوانند به صورت دستی به سایر بخش‌های شبکه نفوذ کرده و «payload»های خود را نصب کنند. این نوع دسترسی با عنوان «TEMP.MixMaster» شناخته شده که اشاره به نصب Ryuk پس از آلوده شدن سیستم توسط TrickBot دارد.

Ryuk تنها باج‌افزاری نیست که شرکت‌ها را هدف قرار می‌دهد. بات «Dridex» نیز توسط عاملان «BitPaymer» استفاده شده است، درحالی که «SamSam» همچنان بدون استفاده از دیگر بدافزارها برای به دست آوردن دسترسی، مستقیما قربانیان را هدف قرار می‌دهد.
این دو گروه، از دسترسی تعاملی استفاده می‌کنند که آن‌ها را قادر می‌سازد تا باج‌افزار خود را به صورت هماهنگ به حیاتی‌ترین سیستم‌های یک سازمان ارسال و از یک اپراتور انسانی برای مذاکرات پرداخت استفاده ‌کنند. این روش توسط گروه سومی که از با‌ج‌افزار SamSam برای اخاذی از قربانیان استفاده میکند نیز مورد بهره‌برداری قرار می‌گیرد.

TrickBot معمولا در عملیات‌های گسترده ایمیل اسپم، شامل پیوست‌هایی که بدافزار موردنظر را روی رایانه نصب می‌کنند، توزیع می‌شود. TrickBot می‌تواند از طریق بدافزار دیگری به نام «Emotet» نیز نصب گردد که از طریق ایمیل‌های اسپم توزیع می‌شود.
عملیات‌های ایمیل اسپم در پوشش شرکت‌های قانونی مختلف شروع به ارسال ایمیل‌هایی می‌کنند که در قالب مشاوره پرداخت «HSBC»، نامه‌های دستمزد، اسناد بانک «Lloyds» و برنامه‌های دستمزد «Deloitte» هستند.

پس از نصب TrickBot ، یک shell معکوس برای مهاجمان ایجاد می‌شود که به آن‌ها اجازه دسترسی از راه دور را به رایانه آلوده و نصب Ryuk در سرتاسر شبکه می‌دهد. این کار، معمولا با دانلود یک ابزار «PowerShell» به نام «Empire» انجام می‌شود. Empire ابزاری است که به مهاجمان اجازه می‌دهد تا یک payload را به سرعت در یک شبکه توزیع کنند و در عین حال ناشناس باقی بمانند.

این مهاجمان از Empire برای سرقت اطلاعات احراز هویت در دیگر رایانه‌های شبکه استفاده و سپس باج‌افزار Ryuk را روی اهداف ارزشمند نصب می‌کنند. پس از نصب، باج‌افزار فایل‌ها را رمزگذاری کرده، پسوند آن‌ها را به «.RYK» تغییر داده، یادداشت‌های باج‌خواهی را در فایل «RyukReadMe.txt» قرار می‌دهد.

استفاده از TrickBot به این معنا نیست که عاملان Ryuk از هدف قرار دادن قربانیان و به‌دست‌آوردن دسترسی از طریق خدمات باز مانند «Remote Desktop Services» دست کشیده‌اند. بلکه همکاری با TrickBot، به معنای ایجاد فرصت بیشتری برای دسترسی به شبکه برای Ryuk است.