امنیت

فناوری اطلاعات

August 2, 2020
16:12 یکشنبه، 12ام مردادماه 1399
کد خبر: 114749

تحلیل باج‌افزار هدف‌دارِ WastedLocker

اواخر جولای 2020، سایت‌های خبرگزاری‌ فناوری پر شد از خبرهایی در مورد شرکت Garmin. بسیاری از سرویس‌های Garmin از جمله همگام‌سازی دستگاه با کلود و ابزارهای مخصوص خلبانان غیرفعال شد.
به گزارش روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)؛ نبودِ اطلاعات دقیق در مورد این ماجرا باعث شد تا هر کسی برای خود نظریه‌های دیوانه‌کننده‌ای بدهد. اما ما تصمیم گرفتیم به جای اینکه ندانسته شرایط را ارزیابی کنیم، منتظر باشیم ببینیم چه زمان اطلاعات موثقی در این باره به دستمان خواهد رسید. Garmin طی بیانیه‌ای رسمی تأیید کرد که تحت حمله‌ای سایبری قرار گرفته است؛ حمله‌ای که سرویس‌های آنلاین این شرکت را را مختل و برخی سیستم‌های داخلی‌اش را نیز رمزگذاری نموده. اطلاعاتی که تاکنون در دسترس قرار گرفته است نشان می‌دهد مهاجمین برای اجرای این حمله از باج‌افزار WastedLocker استفاده کرده‌اند. متخصصین ما تحلیل فنی مفصلی روی این بدافزار انجام دادند که در ادامه قصد داریم یافته‌های این تحلیل را در اختیارتان قرار دهیم. پس ما با همراه بمانید.
باج‌افزار WastedLocker
WastedLocker نمونه‌ایست از باج‌افزار هدف‌دار: بدافزاری که مشخصاً برای حمله به شرکتی خاص طراحی می‌شود. پیام باج، قربانی را به اسم خطاب کرده بود و تمامی فایل‌های رمزگذاری‌شده افزونه‌ی garminwasted. گرفته بودند. نقشه‌ی کریپتوگرافیک مجرمان سایبری نیز به همین نتیجه‌گیری اشاره دارد. فایل‌ها با استفاده از الگوریتم‌های AES و RSA رمزگذاری شده بودند؛ الگوریتم‌هایی که سازندگان باج‌افزار اغلب به طور ترکیبی از آن‌ها استفاده می‌کنند. با این حال، به جای استفاده از یک رمز منحصراً تولیدشده برای هر آلودگی، رمز عمومی RSA مورد استفاده قرار گرفت. به بیانی دیگر، اگر دستکاری این باج‌افزار بر علیه چندین هدف مورد استفاده قرار می‌گرفت، برنامه‌ی رمزگذاری داده هدفی عمومی داشت؛ زیرا باید یک کلید خصوصی هم وجود می‌داشت. افزون بر این، باج‌افزار مذکور ویژگی‌های عجیب زیر را از خود نشان داده است:
اولویت‌بندی رمزگذاری داده: بدین‌معنا که مجرمان سایبری می‌توانند دایرکتوری خاص فایل‌ها را برای رمزگذاری در اول کار، مشخص کنند. این کار در صورتی که مکانیزم‌های امنیتی، رمزگذاری داده را پیش از تکمیل شدنش متوقف کرده باشند میزان آسیب را به بالاترین حد خود خواهند رساند.
پشتیبانی از رمزگذاری فایل روی منابع شبکه ریموت.
بررسی امتیاز و استفاده از سرقت DLL برای افزایش امتیاز.
Garmin در چه وضعی است؟
طبق بیانیه‌ی به‌روز شده‌ی این شرکت، سرویس‌ها دوباره شروع به کار کرده‌اند؛ هرچند همگام‌سازی داده‌ها ممکن است کُند پیش رفته و هنوز به برخی موارد جداگانه محدود شده باشند که خوب قابل درک هم هست:
دستگاه‌هایی که چندین روز نتوانستند با سرویس‌های کلود خود همگام‌سازی شوند اکنون همگی دارند به صورت همزمان به سرورهای شرکت وصل می‌شوند و این افزایش لود را در پی خواهد داشت. Garmin اینطور گزارش داده است که هنوز شواهدی دال بر دسترسی پیدا کردن غیرقانونی شخصی به داده‌های کاربری در طول این رخداد وجود ندارد.
چطور در برابر چنین حملاتی مصون بمانیم؟
حملات هدف‌دار باج‌افزار روی شرکت‌ها آمده‌اند تا بمانند. با این تفاسیر توصیه ما به شما این است که:
همیشه نرم‌افزارهای خود را به روز نگه دارید خصوصاً سیستم‌عامل را؛ بیشتر تروجان‌ها آسیب‌پذیری‌های شناخته‌شده را اکسپلویت می‌کنند.
برای ردّ دسترسی عمومی به سیستم‌های شرکت از RDP (یا در صورت لزوم از وی‌پی‌ان) استفاده کنید.
به کارمندان خود اصول اولیه امنیت سایبری را آموزش دهید. اغلب اوقات، مهندسی اجتماعی روی کارمندان است که به تروجان‌های باج‌افزار اجازه می‌دهد شبکه‌های سازمانی را آلوده کنند.
از راهکارهای امنیتی جدید و مجهز به فناوری‌های پیشرفته‌ی ضد باج‌افزار استفاده کنید. محصولات ما WastedLocker را شناسایی کرده و جلوی آلودگی را می‌گیرند.
  • مشترک شوید!

    برای عضویت در خبرنامه روزانه ایستنا؛ نشانی پست الکترونیکی خود را در فرم زیر وارد نمایید. پس از آن به صورت خودکار ایمیلی به نشانی شما ارسال میشود، برای تکمیل عضویت خود و تایید صحت نشانی پست الکترونیک وارد شده، می بایست بر روی لینکی که در این ایمیل برایتان ارسال شده کلیک نمایید. پس از آن پیامی مبنی بر تکمیل عضویت شما در خبرنامه روزانه ایستنا نمایش داده میشود.

    با عضویت در خبرنامه پیامکی آژانس خبری فناوری اطلاعات و ارتباطات (ایستنا) به طور روزانه آخرین اخبار، گزارشها و تحلیل های حوزه فناوری اطلاعات و ارتباطات را در هر لحظه و هر کجا از طریق پیام کوتاه دریافت خواهید کرد. برای عضویت در این خبرنامه، مشترکین سیمکارت های همراه اول لازم است عبارت 150 را به شماره 201464 و مشترکین سیمکارت های ایرانسل عبارت ozv ictn را به شماره ۸۲۸۲ ارسال کنند. دریافت موفق هر بسته خبری که محتوی پیامکی با حجم ۵پیامک بوده و ۴ تا ۶ عنوان خبری را شامل میشود، ۳۵۰ ریال برای مشترک هزینه در بردارد که در صورتحساب ارسالی از سوی اپراتور مربوطه محاسبه و از اعتبار موجود در حساب مشترکین سیمکارت های دائمی کسر میشود. بخشی از این درآمد این سرویس از سوی اپراتور میزبان شما به ایستنا پرداخت میشود. مشترکین در هر لحظه براساس دستورالعمل اعلامی در پایان هر بسته خبری قادر خواهند بود اشتراک خود را در این سرویس لغو کنند. هزینه دریافت هر بسته خبری برای مشترکین صرفا ۳۵۰ ریال خواهد بود و این هزینه برای مشترکین در حال استفاده از خدمات رومینگ بین الملل اپراتورهای همراه اول و ایرانسل هم هزینه اضافه ای در بر نخواهد داشت.