باج‌افزار خرگوش بد از بهره‌برداری آژانس امنیت ملی آمریکا استفاده می‌کند

یک باج افزار گسترده جدید، به نام خرگوش بد که در هفته ی جاری بیش از ۲۰۰ سازمان بزرگ را، به طور عمده در روسیه و اوکراین هدف قرار داد، از یک بهره برداری به سرقت رفته از آژانس امنیت ملی آمریکا که توسط گروه Shadow Brokers در ماه آوریل منتشر شد، استفاده می کند تا خود را در شبکه ی قربانیان گسترش دهد.

پیش از این گزارش شده بود که شیوع باج افزارهای این هفته، از هیچ بهره برداری توسعه یافته توسط آژانس امنیت ملی و EternalRomance و EternalBlue استفاده نمی کند، اما گزارش اخیر  سیسکو تالوس نشان داد که باج‌افزار خرگوش بد از بهره‌برداری  EternalRomance استفاده کرده است. باج‌افزار نات‌پتیا (با نام‌های ExPetr و Nyeta نیز شناخته شده) که ده‌ها هزار سیستم را در ماه ژوئن آلوده کرد، بهره‌برداری EternalRomance را به همراه EternalBlue مورد استفاده قرار داد که EternalBlue در شیوع باج‌افزار WannaCry نیز استفاده شده بود. 

خرگوش بد از EternalBlue استفاده نمی‌کند اما از بهره‌برداری EternalRomance برای گسترش در شبکه قربانیان استفاده می‌کند. مایکروسافت و F-Secure وجود این بهره‌برداری را در خرگوش بد تایید کرده‌اند. بهره‌برداری EternalRomance یکی از ابزارهای نفوذ است که ظاهرا متعلق به گروه نفوذ آژانس امنیت ملی آمریکا به نام گروه Equation  است که توسط گروه نفوذ ناشناسی که خود را Shadow Brokers می‌نامند، در ماه آوریل امسال افشاء شده است.

بهره‌برداری EternalRomance یک بهره‌برداری اجرای کد از راه دور است که از یک آسیب‌پذیری (CVE-2017-0145) موجود در SMB که پروتکل انتقال داده بین کامپیوترهای ویندوز متصل به هم است، استفاده می‌کند تا امنیت اتصالات اشتراک فایل را دور بزند، و در نتیجه اجرای کد از راه دور را در کلاینت‌ها و سرورهای ویندوز فعال کند.

گزارش شده است که خرگوش بد از طریق نصب‌کننده‌های جعلی ادوبی فلش‌پلیر توزیع شده تا قربانیان را مجبور کند این بدافزار را به طور ناخواسته نصب کنند و از قربانیان ۰٫۰۵ بیت‌کوین (۲۸۵ دلار) درخواست کند تا سیستم‌های آن‌ها را رمزگشایی کند. 

چگونه باج‌افزار خرگوش بد در یک شبکه گسترش می‌یابد؟
بنا به گفته‌ی محققان، خرگوش بد ابتدا شبکه داخلی را برای به اشتراک‌گذاری‌های باز SMB اسکن می‌کند، یک فهرست از گواهی‌نامه‌های معمول را امتحان می‌کند تا بدافزار را نصب کند، و همچنین از ابزار Mimikatz برای استخراج گواهی‌نامه‌ها از سیستم‌های آسیب‌دیده استفاده می‌کند.

شرکت EndGamer خاطر نشان کرد که خرگوش بد همچنین می‌تواند در تلاش برای اجرای کد از راه دور روی سیستم های دیگر ویندوز در شبکه،  از رابط کاربری خط فرمان ابزار مدیریت ویندوز بهره‌برداری کند.

با این حال، با توجه به اظهارات سیسکو تالوس، خرگوش بد کدی را که ازEternalRomance  استفاده می‌کند، حمل می‌کند، که این کد به نفوذگران راه دور اجازه می‌دهد تا این باج‌افزار را به طور موثر از یک کامپیوتر آلوده به اهداف دیگری پخش کند.

آیا گروه نفوذ یکسانی پشت خرگوش بد و نات‌پتیا است؟
از آنجا که خرگوش بد و نات‌پتیا هر دو از کد تجاری DiskCryptor برای رمزنگاری هارد قربانیان و کد پاک‌کننده‌ برای پاک کردن هاردهای متصل به سیستم آلوده، استفاده می‌کنند، محققان معتقدند که احتمال اینکه مهاجمان پشت هر دو باج‌افزار یکسان باشد، بسیار زیاد است. نات‌پتیا قبلا به گروه نفوذ روسی که با نام BlacjEnergy و Sandworm Team شناخته شده، نسبت داده شده است اما به دلیل این‌که خرگوش بد در درجه‌ی اول روسیه را هدف قرار می‌دهد، به نظر نمی‌رسد که کسی با این فرضیه‌ها متقاعد شود.

چگونه باید از خود در برابر حملات باج‌افزار خرگوش بد محافظت کنیم؟
به منظور محافظت در برابر خرگوش بد، توصیه شده است که سرویس WMI را غیرفعال کنید تا از انتشار بدافزار در شبکه خود جلوگیری کنید. همچنین اطمینان حاصل کنید که سیستم‌ها به طور منظم آپدیت می‌شوند و یک مجموعه‌ی امنیتی آنتی‌ویروس خوب و موثر در سیستم خود داشته باشید.

به خاطر این‌که بیشتر باج‌افزارها از طریق ایمیل‌های فیشینگ، تبلیغات مخرب در وب‌سایت‌ها، برنامه‌های شخص ثالث گسترش می‌یابند، باید همیشه قبل از افتادن در دام هر یک از این‌ها، احتیاط کنید. از همه مهم‌تر این است که همیشه اطلاعات ارزشمند خود را سفت بچسبید، یک روال تهیه‌ی پشتیبان خوب برای ایجاد و ذخیره‌ی کپی‌های فایل‌ها در یک دستگاه ذخیره‌سازی خارجی که همیشه هم به کامپیوتر شما وصل نیست، داشته باشید.

منبع