حمله باج افزاری به اطلاعات محرمانه دولتی

به گزارش کارگروه حملات سایبری سایبریان؛ محققان شرکت امنیتی «بلیپینگپ کامپیوتر» (Bleeping Computer) به تازگی نسل جدیدی از بدافزار «ریوک استیلر» (Ryuk Stealer)، را شناسایی کرده‌اند. این نسخه امکان سرقت داده‌های محرمانه نظامی، دولتی، شرایط اقتصادی، بانکی و دیگر نمونه‌های حساس را به هکر می‌دهد.

بلیپینگپ کامپیوتر اولین بار باج افزار ریوک را در سپتامبر 2019 شناسایی و گزارشی را نسبت به آن منتشر کرد. ریوک با استفاده از مقایسه کلماتی کلیدی در نام فایل‌ها اقدام به سرقت محتوا می‌کند. البته هنوز مشخص نیست که آیا توسعه‌دهندگان نسخه جدید ریوک همان گروه سابق هستند یا عده دیگری تنها با استفاده از کدهای منبع آن نمونه جدید را به وجود آورده‌اند. با وجود این ویتالا کرمز (Vitali Kremez)، از محققان این شرکت معتقد است هر دو بدافزار توسط یک گروه توسعه یافته پیدا کرده‌اند.

ریوک کلمات بسیار خاصی را در نام فایل‌های دولتی، عملیات نظامی و اجرایی قوانین جستجو می‌کند و اگر شباهتی پیدا شود، محتوا را سرقت خواهد کرد که می‌تواند برای کشور هدف فاجعه‌آمیز باشد.

محققان گروه هانتر ملور بلیپینگپ کامپیوتر (MalwareHunterTeam)، با بررسی ریوک، ویژگی‌های جدید آن را شناسایی کرده‌اند. در این نسخه قابلیت‌های اسکن محتوا بروزتر و کلمات کلیدی بیشتری توسط بدافزار مورد استفاده قرار می‌گیرد.

در نسخه قبلی ریوک تنها فایل‌هایی با پسوند «docx» و «xlsx» که به ترتیب برای ورد و اکسل هستند اسکن می‌شدند؛ اما هم‌اکنون 7 پسوند جدید نیز به آن اضافه شده است که امکان جستجوی فایل‌های «PDF»، تصاویر «JPG» و کیف پول‌های ارزهای دیجیتالی را فراهم می‌کند. این پسوندها «CPP»، «h»، «Xls»، «doc»، «pdf»، «jpg» و «wallet.dat» هستند.

فایل‌هایی که دارای پسوند بالا باشند محتوای آن‌ها با 85 کلمه تصویر زیر مقایسه می‌شود.