موج جدیدی از حملات باج‌افزاری گسترده از راه رسید: ظهور باج‌افزار Petwrap

 

یک باج افزار معروف در حوزه ی تهدیدات سایبری، پِتیا نام داشت که اکنون شاهد هستیم موج جدیدی از این باج افزار با نام Petwrap ظاهر شده و کامپیوترها را در ایالت های مختلف از جمله در اوکراین و روسیه هدف قرار داده است. این دومین حمله ی گسترده ی باج افزاری است که در چند هفته ی اخیر شاهد آن هستیم. اگر به خاطر داشته باشید ماه گذشته نیز هزاران کامپیوتر به باج افزار WannaCry آلوده شدند.


باج افزار Petwrap نیز از یک آسیب پذیری اجرای کد از راه دور، با شناسه ی MS17-010 در سرویس SMB ویندوز بهره برداری می کند. ابزاری که می‌تواند از این آسیب‌پذیری بهره‌برداری کند Eternal Blue نام داشته و توسط آژانس امنیت ملی آمریکا توسعه داده شده است. یک گروه نفوذ با نام Shadow Brokers، این ابزارها را از این آژانس اطلاعاتی دزدیده و به‌طور عمومی منتشر کرده است. 


این درحالی است که شرکت مایکروسافت در ماه مارس این آسیب‌پذیری را در به‌روزرسانی‌های امنیتی خود وصله کرده بود ولی مشکل اصلی این است که بر روی بسیاری از سیستم‌ها هنوز وصله‌های مایکروسافت اعمال نشده است. بانک‌ها، مؤسسات مالی، شرکت‌های تجاری، بخش‌های مربوط به انرژی و زیرساخت‌های حیاتی کشورها به این باج‌افزار آلوده شده‌اند. 


بررسی‌ها نشان داده باج‌افزار Petwrap از تکنیک مخصوص به خود، برای توزیع و گسترش در سطح شبکه استفاده می‌کند. به گفته‌ی محققان روسی، این باج‌افزار از ابزاری با نام LSADump استفاده می‌کند. از این ابزار می‌توان برای جمع‌آوری و ذخیره‌ی گواهی‌نامه‌های ورود به ویندوز و همچنین کنترلرهای دامنه در سطح شبکه استفاده کرد. در حال حاضر گزارش‌ها حاکی از آن است که بخش‌های زیادی از آمریکا نیز به این باج‌افزار آلوده شده‌اند. 


انگیزه‌ی مهاجمان از این حملات باج‌افزاری چیست؟
مشاهدات نشان می‌دهد که این باج‌افزار در سطح سیستم و شبکه می‌تواند ناهنجاری‌های مختلفی را بوجود بیاورد و محققان بر این باورند که انگیزه‌ی اصلی نویسندگان باج‌افزار Petwrap، خراب‌کاری است. محققان می‌گویند هرچند بدافزار پِتیا در قالب یک باج‌افزار ارائه و توزیع می‌شود ولی هدف اصلی آن تخریب دارایی‌ها در سیستم و شبکه است. 


محققان اشاره کردند عملیات باج‌افزاری در این بدافزار بسیار مشکوک است به‌طوری که از یک آدرس بیت‌کوین برای تمامی قربانیان استفاده کرده‌اند در حالی‌که در حملات معمول باج‌افزاری، برای هر قربانی، از یک آدرس منحصربفرد استفاده می‌شود. همچنین مهاجمان برای اینکه قربانیان بتوانند با آن‌ها ارتباط برقرار کنند، یک آدرس ایمیل ارائه کرده‌اند. در بسیاری از حملات باج‌افزاری، مهاجمان برای حفظ گمنامی و ناشناس ماندن، از شبکه‌های Tor برای برقراری ارتباط استفاده می‌کنند. تمامی این نکته‌ها باعث می‌شود تا حدس بزنیم که عملیات باج‌افزاری در Petwrap مشکوک بوده و هدف آن بیشتر تخریبی است. 

 

 

پست‌های مشابه

Leave a Comment