یک باج افزار معروف در حوزه ی تهدیدات سایبری، پِتیا نام داشت که اکنون شاهد هستیم موج جدیدی از این باج افزار با نام Petwrap ظاهر شده و کامپیوترها را در ایالت های مختلف از جمله در اوکراین و روسیه هدف قرار داده است. این دومین حمله ی گسترده ی باج افزاری است که در چند هفته ی اخیر شاهد آن هستیم. اگر به خاطر داشته باشید ماه گذشته نیز هزاران کامپیوتر به باج افزار WannaCry آلوده شدند.
باج افزار Petwrap نیز از یک آسیب پذیری اجرای کد از راه دور، با شناسه ی MS17-010 در سرویس SMB ویندوز بهره برداری می کند. ابزاری که میتواند از این آسیبپذیری بهرهبرداری کند Eternal Blue نام داشته و توسط آژانس امنیت ملی آمریکا توسعه داده شده است. یک گروه نفوذ با نام Shadow Brokers، این ابزارها را از این آژانس اطلاعاتی دزدیده و بهطور عمومی منتشر کرده است.
این درحالی است که شرکت مایکروسافت در ماه مارس این آسیبپذیری را در بهروزرسانیهای امنیتی خود وصله کرده بود ولی مشکل اصلی این است که بر روی بسیاری از سیستمها هنوز وصلههای مایکروسافت اعمال نشده است. بانکها، مؤسسات مالی، شرکتهای تجاری، بخشهای مربوط به انرژی و زیرساختهای حیاتی کشورها به این باجافزار آلوده شدهاند.
بررسیها نشان داده باجافزار Petwrap از تکنیک مخصوص به خود، برای توزیع و گسترش در سطح شبکه استفاده میکند. به گفتهی محققان روسی، این باجافزار از ابزاری با نام LSADump استفاده میکند. از این ابزار میتوان برای جمعآوری و ذخیرهی گواهینامههای ورود به ویندوز و همچنین کنترلرهای دامنه در سطح شبکه استفاده کرد. در حال حاضر گزارشها حاکی از آن است که بخشهای زیادی از آمریکا نیز به این باجافزار آلوده شدهاند.
انگیزهی مهاجمان از این حملات باجافزاری چیست؟
مشاهدات نشان میدهد که این باجافزار در سطح سیستم و شبکه میتواند ناهنجاریهای مختلفی را بوجود بیاورد و محققان بر این باورند که انگیزهی اصلی نویسندگان باجافزار Petwrap، خرابکاری است. محققان میگویند هرچند بدافزار پِتیا در قالب یک باجافزار ارائه و توزیع میشود ولی هدف اصلی آن تخریب داراییها در سیستم و شبکه است.
محققان اشاره کردند عملیات باجافزاری در این بدافزار بسیار مشکوک است بهطوری که از یک آدرس بیتکوین برای تمامی قربانیان استفاده کردهاند در حالیکه در حملات معمول باجافزاری، برای هر قربانی، از یک آدرس منحصربفرد استفاده میشود. همچنین مهاجمان برای اینکه قربانیان بتوانند با آنها ارتباط برقرار کنند، یک آدرس ایمیل ارائه کردهاند. در بسیاری از حملات باجافزاری، مهاجمان برای حفظ گمنامی و ناشناس ماندن، از شبکههای Tor برای برقراری ارتباط استفاده میکنند. تمامی این نکتهها باعث میشود تا حدس بزنیم که عملیات باجافزاری در Petwrap مشکوک بوده و هدف آن بیشتر تخریبی است.