SNSLocker بزرگ‌ترین تهدید سایبری

تاریخ انتشار : ۳۱ خرداد ۱۳۹۵

مهاجمان اعتبارنامه‌های کارگزار را در کد باج‌افزار جا گذاشتند.

به گزارش گرداب، باج‌افزارها در حال حاضر یکی از بزرگ‌ترین تهدیدات سایبری هستند که هم بر افراد و هم بر شرکت‌ها تأثیر منفی خود را باقی می‌گذارند اما درهرحال مجرمان سایبری که در پشت این حملات قرار دارند نیز اشتباهات فاحشی مرتکب می‌شوند.

اخیراً محققان شرکت‌ترند میکرو به یک باج‌افزار به نام SNSLocker برخورده‎اند که به دلیل شیوه عملکرد و رابط کاربری خود حضور چندان چشمگیری نداشته است؛ اما بااین‌حال این باج‌افزار توجه خاصی را به خود جلب کرده است و آن‌هم به دلیل اشتباهی بوده که نویسندگان آن مرتکب شده‌اند. توسعه‌دهنده یا توسعه‌دهندگان این بدافزار اعتبارنامه‌هایی را که برای دسترسی به کارگزار خود لازم دارند را در کد باج‌افزار جاگذاشته‌اند و فراموش کردند تا قبل از شروع حمله‌ی بدافزار آن‎ها را حذف کنند.

همان‌طور که مشخص خواهد شد، این تنها یکی از اشتباهاتی است که این مجرمان سایبری مرتکب شده‌اند، چراکه آن‎ها از کارگزارهای خوانا و سامانه‌های پرداخت واضح در حملات خود استفاده کرده‌اند. محققان ترند میکرو می‌گویند که این نشان می‌دهد که آن‎ها برای نصب یک سامانه جهت حمله خود عجله داشته‌اند و تنها به دنبال دریافت سریع پول بوده‌اند. رشد اخیر ارائه خدمات باج‌افزاری به اکثر افراد اجازه داده است تا تبدیل به یک مجرم سایبری شوند، اما به‌هرحال این شیوه‌ی تجارت نیز هشدارهای مربوط به خود را دارد. به دلیل اینکه این مهاجمان برای برگشت سرمایه‌گذاری خود عجله داشته‌اند،‌ برای حفظ امنیت نرم‌افزار مخرب و منابعی که از آن‎ها استفاده می‌کنند، تمرکز لازم را به خرج نداده‌اند.

رها کردن اعتبارنامه‌ها به‌صورت باز و به اشتراک‌ گذاردن آن‎ها در رسانه‌های اجتماعی با محققان امنیتی یک اشتباه فاحش بوده است که نویسندگان این بدافزار ممکن است به دلیل نداشتن مهارت‌های پیشرفته، مرتکب آن شده باشند. به گفته‌ی این محققان امنیتی، SNSLocker  دارای یک رابط کاربری سنگین است و قابلیت‌هایی که دارد شبیه به دیگر خانواده‌های باج‌افزارهایی از این نوع است.

قابلیت‌های رمزگذاری این بدافزار همچون دیگر باج‌افزارها است و نشانی‌های پرداخت و میزان باج درخواستی (در این مورد ۳۰۰ دلار) نیز برجستگی خاصی ندارد. همچنین محققان ترند میکرو گفته‌اند که این بدافزار به‌صورت خالص در Net Framework 2.0 نوشته‌شده است و از قابلیت‌های چندین کتابخانه محبوب نظیر Newtonsoft.Json و MetroFramework UI نیز بهره می‌برد و علاوه بر این‎ها از رابط کاربری Microsoft.Net Crypto نیز استفاده می‌کند. 

کد باج‌افزار علاوه بر اعتبارنامه‌هایی برای ورود به کارگزار مذکور شامل رشته‌ای است که اطلاعاتی را در مورد مکان کارگزار افشاء می‌کند. محققان می‌گویند که این کد، نه‌تنها موجب دسترسی به کارگزار می‌شود بلکه همچنین کلید رمزگشایی را نیز که در داده‌های در دسترس عموم است، ارائه می‌کند.

عوامل این باج‌افزار SNSLocker از یک ارائه‌دهنده‌ی رایگان میزبانی به عنوانی مرکز کنترل و فرماندهی باج‌افزار (C&C) و کارگزار پرداخت استفاده کرده‌اند به‌طوری‌که هزینه‌ی نگهداری از حساب کاربری به حداقل ممکن برسد. همچنین این عوامل زمانی را برای سفارشی کردن روند پرداخت نیز صرف ننموده‌اند و به‌جای آن، تنها به یک درگاه ارز رمزنگاری‌شده‌ی قانونی برای پذیرش پرداخت روی آورده‌اند.

باوجوداین اشتباهات، ‌این باج‌افزار موفق شده‌ است که رایانه‌هایی را در سراسر دنیا آلوده سازد، اگرچه تمرکز خود را بیشتر بر کشور ایالات‌متحده آمریکا قرار داده است. به دلیل اینکه این باج‌افزار یک تهدید جهانی است، بنابراین در زمره‌ی بدافزارهای شایع است و این نشان می‌دهد که مجرمان سایبری می‌توانند به‌راحتی سامانه‌های آلوده سازی و پرداخت خود را نصب‌کرده و افراد را بدون صرف وقت در سراسر دنیا مورد هدف قرار دهند.

متأسفانه برخی از خانواده باج‌افزارهای مسلط در دنیای خارج، از ضعف‌هایی که باج‌افزار SNSLocker دارد، رنج نمی‌برند. تهدیدهایی نظیر Ceber به‌صورت مداوم به‏روزرسانی می‌شوند که موجب می‌شود تا عملکردهای آن‎ها بهبود پیدا کند و درنتیجه‌ی آن می‌توانند از برنامه‌های ضد بدافزار خود را پنهان سازند. باج‌افزارهایی Petya‌ و Locky نیز دو نمونه از بدافزارهایی هستند که خوب نوشته‌شده‌اند و در زمره‌ تهدیدهایی هستند که به‎طور مداوم پشتیبانی می‌شوند.
منبع: news.asis.io