دسترسی به شبکه آلوده توسط باج افزار ها

دسترسی به شبکه آلوده توسط باج افزار ها
تاریخ انتشار : ۲۶ دی ۱۳۹۷

دسترسی به شبکه آلوده با همکاری باج‌افزارهای Ryuk و Trickbot برای اولین بار امکان پذیر شد.

به گزارش گرداب، Ryuk به عنوان باج‌افزاری هدفمند شناخته می‌شود که پس از شناسایی اهداف خود، از طریق سرویس‌های Remote Desktop یا دیگر روش‌های مستقیم، به آن‌ها دسترسی پیدا کرده، اطلاعات حساس را به سرقت برده و سپس داده‌ها و سرورهای با ارزش بالا را هدف قرار می‌دهد تا بیشترین مقدار باج ممکن را دریافت کند.

به گزارش معاونت بررسی مرکز افتا، به نقل از BleepingComputer، بدافزار Ryuk به دلیل تاثیر گسترده در شبکه‌هایی که آلوده می‌کند، باج‌های درخواستی بالا و همچنین گزارش‌هایی مبنی بر دریافت ۳,۷ میلیون دلار از قربانیان، از باج‌افزارهای شناخته شده و مهم است. اخیرا، Ryuk در حمله‌ای استفاده شده که توزیع روزنامه‌های بزرگی چون وال استریت ژورنال، نیویورک تایمز و لس آنجلس تایمز را تحت تاثیر قرار داده است.

پژوهش‌های جدید نشان می‌دهد که عاملان حملات Ryuk ممکن است از دیگر بدافزارها برای به دست آوردن دسترسی به شبکه قربانی استفاده کنند؛ پژوهشگران مشاهده کرده‌اند که از بدافزار TrickBot برای دسترسی به شبکه‌های آلوده استفاده شده است. هنگامی که این بدافزارها رایانه‌ای را آلوده می‌کنند، shell معکوسی برای دیگر مهاجمان ایجاد می‌کنند، تا آن‌ها بتوانند به صورت دستی به سایر بخش‌های شبکه نفوذ کرده و payloadهای خود را نصب کنند. این نوع دسترسی با عنوان TEMP.MixMaster شناخته شده که اشاره به نصبRyuk  پس از آلوده شدن سیستم توسط TrickBot دارد.

Ryuk تنها باج‌افزاری نیست که شرکت‌ها را هدف قرار می‌دهد. بات Dridex نیز توسط عاملان BitPaymer استفاده شده است، در حالی که SamSam همچنان بدون استفاده از دیگر بدافزارها برای به دست آوردن دسترسی، مستقیما قربانیان را هدف قرار می‌دهد.

این دو گروه از دسترسی تعاملی استفاده می‌کنند که آن‌ها را قادر می‌سازد تا باج‌افزار خود را به صورت هماهنگ به حیاتی‌ترین سیستم‌های یک سازمان ارسال و از یک اپراتور انسانی برای مذاکرات پرداخت استفاده ‌کنند. این روش توسط گروه سومی که از با‌ج‌افزار SamSam برای اخاذی از قربانیان استفاده می-کند، نیز بهره‌برداری می‌شود.

TrickBot معمولا در عملیات‌های گسترده ایمیل اسپم، شامل پیوست‌هایی که بدافزار موردنظر را بر روی رایانه نصب می‌کنند، توزیع می‌شود. TrickBot می‌تواند از طریق بدافزار دیگری به نام Emotet نیز نصب شود که از طریق ایمیل‌های اسپم توزیع می‌شود.
عملیات‌های ایمیل اسپم در پوشش شرکت‌های قانونی مختلف شروع به ارسال ایمیل‌هایی می‌کنند که در قالب مشاوره پرداخت HSBC، نامه‌های دستمزد، اسناد بانک Lloyds و برنامه‌های دستمزد  Deloitteهستند.

پس از نصبTrickBot ، یک shell معکوس برای مهاجمان ایجاد می‌شود ، که به آن‌ها اجازه دسترسی از راه دور به رایانه آلوده و نصب Ryuk در سرتاسر شبکه را می‌دهد. این کار معمولا با دانلود یک ابزار PowerShell به نام Empire انجام می‌شود. Empire ابزاری است که به مهاجمان اجازه می‌دهد تا یک payload را به سرعت در یک شبکه توزیع کنند و در عین حال ناشناس باقی بمانند.

این مهاجمان از Empire برای سرقت اطلاعات احرازهویت در دیگر رایانه‌های شبکه استفاده و سپس باج‌افزار Ryuk را بر روی اهداف ارزشمند نصب می‌کنند. پس از نصب، باج‌افزار فایل‌ها را رمزگذاری کرده، پسوند آن‌ها را به .RYK تغییر داده و یادداشت‌های باج‌خواهی را در فایلRyukReadMe.txt  قرار می‌دهد.

استفاده از TrickBot به این معنا نیست که عاملان Ryuk از هدف قرار دادن قربانیان و به‌دست‌آوردن دسترسی از طریق خدمات باز مانند Remote Desktop Services دست کشیده‌اند. بلکه همکاری با TrickBot، به معنای ایجاد فرصت بیشتری برای دسترسی به شبکه برای Ryuk است.