مطالب پربازدید

1403/09/24 - 08:40- آسیا

ساخت پیچیده‌ترین سلاح سایبری زیرساختی جهان توسط ایران

کارشناسان ادعا کردند که بدافزار مرتبط با ایران زیرساخت‌های حیاتی ایالات متحده و رژیم صهیونیستی را هدف قرار داده است.

1403/09/28 - 07:37- آسیا

راه‌اندازی اولین کامپیوتر کوانتومی ساخت رژیم صهیونیستی

رژیم صهیونیستی از راه‌اندازی اولین کامپیوتر کوانتومی ساخت خود با استفاده از فناوری پیشرفته ابررسانا خبر داد.

1403/09/25 - 16:55- حملات سايبری

آغاز پخش فصل سوم سریال تهران(Tehran)

انتشار شده در تاریخ 1399/03/07 - 11:40

پنهان کردن باج افزار توسط ماشین‌های مجازی

باج افزار جدید RagnarLocker با نصب برنامه VirtualBox و اجرای بر روی رایانه‌های هدف، خود را در یک محیط امن و خارج از دسترس نرم‌افزارهای ضد ویروس اجرا می‌کند.

به گزارش کارگروه امنیت سایبربان، به نقل از پایگاه اینترنتی ZDNet، این ترفند جدید که توسط شرکت Sophos مورد توجه و بررسی قرارگرفته، نشان دهنده خلاقیت و تلاش بسیار برخی از گروه‌های باج افزاری برای جلوگیری از شناسایی در هنگام حمله به قربانی است.

RagnarLocker یک گروه باج افزاری معمولی نیست و اپراتورهای آن اهداف را با دقت انتخاب می‌کنند. آن‌ها از هدف قراردادن کاربران خانگی جلوگیری می‌کنند و فقط به دنبال شبکه‌های شرکت‌ها و سازمان‌های دولتی می‌روند.

Sophos می‌گوید این گروه درگذشته قربانیان را با سوء استفاده از پورت‌های RDP در معرض اینترنت مورد هدف قرار داده و ابزار MSP (managed service provider) را برای نفوذ به سازمان‌ها و دسترسی به شبکه‌های داخلی آن‌ها مورد بهره‌برداری قرار داده است. در این شبکه‌ها، گروه

RagnarLocker نسخه‌ای از باج افزار خود را - که به ازای هر قربانی سفارشی‌سازی شده است - مستقر می‌کند و سپس هزینه رمزگشایی با نرخی نجومی را درخواست می‌کند.

ازآنجاکه هرکدام از این نفوذهای برنامه‌ریزی‌شده فرصتی برای کسب درآمد زیاد هستند، گروه RagnarLocker از ترفند جدیدی استفاده می‌کند تا از تشخیص آن توسط نرم‌افزارهای ضد ویروس جلوگیری کند.

این ترفند بسیار ساده و در عین حال هوشمندانه است. گروه RagnarLocker بجای اجرای مستقیم باج افزار، برنامه Oracle VirtualBox را بارگیری و نصب می‌کند. این برنامه به کاربر امکان اجرای ماشین مجازی را فراهم می‌کند. در ادامه این گروه ماشین مجازی را پیکربندی می‌کند تا دسترسی کامل به کلیه درایوهای محلی و مشترک را داشته باشد و به ماشین مجازی امکان تعامل با فایل‌های ذخیره‌شده در خارج از حافظه داخلی خود را می‌دهد.

قدم بعدی بوت شدن دستگاه مجازی و اجرای یک نسخه از سیستم عامل Windows XP SP۳ بانام MicroXP v۰,۸۲ است.

مرحله آخر بارگیری باج افزار در دستگاه مجازی و اجرای آن است. ازآنجاکه این باج افزار درون ماشین مجازی اجرا می‌شود، برنامه‌های ضد ویروس قادر به شناسایی فرآیند مخرب آن نیستند.

از منظر نرم‌افزار ضد ویروس، فایل‌های موجود در سیستم محلی و درایوهای اشتراکی به طور ناگهانی با نسخه‌های رمزگذاری شده آن‌ها جایگزین می‌شوند، و اینطور به نظر می‌رسد که تمام تغییرات فایل‌ها از یک فرآیند قانونی - یعنی برنامه VirtualBox - ناشی می‌شوند.

به گفته پژوهشگران Sophos، این مورد اولین باری است که سوء استفاده از ماشین‌های مجازی توسط یک گروه باج افزاری انجام‌شده است.