موتور جستجوی Yandex (رقیب روسی گوگل) هک شد
1398/04/27
انتشار کلید برای همه نسخه های باج افزار GandCrab توسط FBI
1398/05/03
بر اساس گزارش سایت The Hacker News اخیرا گروهی از بدافزار ها کشف شده اند که هدف آن ها حمله به دستگاه های ذخیره سازی متصل به شبکه (NAS) می باشد که مبتنی بر لینوکس و بر پایه تکنولوژی QNAP فعالیت می کنند. این بد افزار اطلاعات کاربران را رمز گذاری کرده و تا زمان پرداخت وجه اطلاعات به هیچ وجه قابل بازیابی نیستند.
این بد افزار بر روی دستگاه هایی که از طریق اینترنت اقدام به فعالیت ذخیره سازی اطلاعات می نمایند مشاهده گردیده است. شرکت های Intezer و Anomali به صورت جداگانه در تحقیقاتی موفق به کشف این بد افزار شدند. این بد افزار از طریق آسیب پذیری ها و حفره های امنیتی ، پیدا کردن نقص امنیتی در SSH و.. به راحتی وارد سیستم می شود. این بد افزار با زبان برنامه نویسی Go و با الهام از بد افزار های قدیمی “QNAPCrypt” و “eCh0raix”نوشته شده است که به محض ورود می تواند فایل های موجود را رمز گذاری کرده و با پسوند .encrypt ذخیره نماید. تنها دستگاه های NAS موجود در اوکراین ، بلاروس و روسیه از گزند این حمله در امان خواهند بود. در ادامه خواهیم گفت محققان چگونه از ضعف این بد افزار استفاده کردند تا از تخریب اطلاعات جلوگیری کنند.
پس از آلوده شدن سیستم مهاجم می تواند از طریق به کار گیری پروکسی SOCKS5 Tor به سیستم قربانی وصل شده و قبل از انجام عملیات رمز گذاری مهاجمان آدرس کیف پول بیت کوین را تهیه و در بد افزار قرار می دهند تا بعد از اتمام کار پیام برای قربانی ارسال شود و مبلغ مورد نظر به وی اعلام گردد.
بدافزار درخواست آدرس جدید را برای شروع کار به سمت مهاجم ارسال می کند، پس از دریافت آدرس یک رشته کد تصادفی ۳۲ کاراکتری ایجاد می کند تا از آن یک کلید AES-256 بسازد و تمام عملیات رمز گذاری بر مبنای این کلید انجام می گردد. پس از اتمام کار تمامی فایل های اصلی از روی NAS به طور کامل حذف می گردد و به هیچ وجه قابل بازیابی نمی باشند.
محققان اسکریپتی طراحی کرده اند که این بد افزار را به صورت مجازی تکثیر می کند و مدام درخواست آدرس کیف پول جدید به سمت سرور C&C مهاجم ارسال می شود تا جایی که تمام آدرس های کیف پول موجود روی سرور تمام شده و آدرس جدید ارسال نگردد. اگر در زمان شروع فعالیت بد افزار آدرس کیف پول جدیدی را دریافت نکند رمز گذاری متوقف می شود. محققان توانسته اند تا کنون ۱۰۹۱ آدرس کیف پول منحصر به فرد از روی سیستم قربانیان جمع آوری کنند.
منبع: The Hacker News
