باج افزار GandCrab یک زمینه آموزشی برای توزیع کنندگان بدافزار بود

باج افزار GandCrab یک زمینه آموزشی برای توزیع کنندگان بدافزار بود

اپراتورهای GandCrab تجارت باج افزار را از بدو پیدایش تغییر دادند و مدلی را ایجاد کردند که مورد پذیرش سایر مجرمان سایبری قرار گیرد.

آنها به جای اینکه این عملیات را به صورت خصوصی نگه دارند، آن را محدود به یک حلقه کوچک از مجرمان سایبری نمودند، آنها درها را برای افراد تازه وارد باز کردند، تبلیغ کردند، با مشتریان و شرکت های وابسته ارتباط برقرار کردند و با قربانیان و محققان ارتباط برقرار کردند تا در صدر بازی باقی بمانند.

شکل دادن به نسل جدیدی از مجرمان سایبری

برای بسیاری از شرکای GandCrab، این اولین تجربه باج افزار بود و با مقداری رشد توانستند تجارت خود را توسعه دهند. با رعایت همین اصول، برخی از حامیان تهدید به سطوح جدیدی از موفقیت مالی رسیدند.

تعدادی باج افزار جدید به وجود آوردند و به دنبال افرادی گشتند تا بدافزارهایی مانند Nemty و JSworm را توزیع کنند.

REvil/Sodinokibi یک باج افزار مبتنی بر سرویس که جای پای GandCrab را پر کرده است و توسط کهنه سربازهای محترم در انجمن های زیرزمینی مانند Lalartu (وابسته سابق GandCrab) ارتقاء یافته است.

بازیکن دیگری که در تجارت باج افزار درگیر شده است، truniger می باشد. در حال حاضر یک تیم با بیش از 10 نفر می باشد که از تابستان 2018 کار خود را شروع کرده اند.

در ابتدا، آنها به کلاهبرداری کارت اعتباری علاقه پیدا کردند اما زمانیکه شروع به نفوذ از طریق اتصال از راه دور (اکسپلویت ها و به دست آوردن پسورد ریموت دسکتاپ) نمودند، پول بیشتری نصیبشان شد.

Yelisey Boguslavskiy مدیر تحقیقات امنیتی در Advanced Intelligence می گوید که در ژوئن 2018، باج افزار truniger با مسئولان باج افزار Rapid مشارکت کردند و تا ماه اوت آنها بیش از 1800 سیستم را رمزنگاری نمودند.

این مشارکت تیم GandCrab که truniger را به برنامه وابسته خود اضافه کرده بود، به صورت مخفیانه نبود.

بعد از گذشت چند ماه با GandCrab، truniger شروع به ساخت یک باج افزار مشابه آنچه معلمشان درست کرده بود، کرد. طی چند ماه آینده، این تیم به طور چشمگیری گسترش یافت و برای عملیات باج افزار خود پشتیبان فنی استخدام کرد.

نیاز به کمک، حقوق و دستمزد جذاب

در نوامبر 2018 عوامل این باج افزار شروع به جستجوی تست کنندگان نفوذ (برای عبور به صورت مخفیانه از طریق شبکه ی در معرض خطر)، برنامه نویسان، سرپرستان سیستم، اسپمرها و متخصصان در زمینه فیشینگ، نمودند.

آنها به منظور اینکه از این تجارت پول بیشتری کسب کنند، حقوق ماهانه و پیشنهادهای جذابی را ارائه می دادند، زیرا به پرسنل ماهر نیاز داشتند. در نوامبر، به یک تست کننده نفوذ که برای truniger کار می کرد حقوقی بیش از 4000$ داده میشد.

در دسامبر، شخصی که بر افزایش دسترسی بر روی شرکتهای بزرگ شبکه تمرکز داشت، حداقل 5000$ دریافت می کرد. در مارس 2019 به یک متخصص Metasploit که در دستیابی به دسترسی کنترل دامنه مهارت داشت، پیشنهاد حداقل 10.000$ داده شده بود.

ابزار این تجارت

به گفته Boguslavskiy، این شخص تاکتیک های توزیع باج افزار را از اپراتورهای GandCrab آموخته است. آنها از brute forcing برای ریموت دسکتاپ استفاده می کنند تا وارد شبکه شوند و برای این کار به یک ابزار سفارشی متکی هستند به نام RDP Brute که توسط شخصی با نام مستعار z668 ساخته شده است.

RDP Brute موقع راه اندازی اولیه سیستم استفاده می شود. هنگامیکه یک ارتباط پایدار برقرار شود و شبکه در دسترس قرار گرفت تا اطمینان حاصل شود که امکان آلوده کردن سیستمهای زیادی وجود دارد، عامل باج افزار فایل اجرایی بدافزار رمزنگاری کننده سیستم را بر روی سیستم قربانی اجرا می کند.

در گزارشی که امروز منتشر شد، Boguslavskiy می گوید که در ژوئن 2019، truniger یک تغییر را (از RDP تا botnet) در حمله خود اعلام کرد.

Truniger برای استخراج گذرواژه ها از حافظه سیستم های ویندوزی به ابزار mimikatz متکی است و در یک چت خصوصی بخشی از تاکتیک های خود را شرح داده است:

ما یک loader داریم، ابتدا ما loader را از طریق ایمیل های فیشینگ هدفمند ارسال می کنیم و پس از آن bot را آپلود می کنیم و سپس با استفاده از bot ما تمام meta ها را آپلود می کنیم و بیشتر داخل شبکه می شویم. ما در حال حاضر بر روی سرورهای اختصاصی (و ریموت دسکتاپ های در معرض خطر) تمرکز داریم. ما برای اهداف خاص خود علاقمند به داده های کلان و پویا (Dynamic Data Exchange - DDE) هستیم.

Loader ذکر شده در گفتگو، Amadey می باشد، که در برخی از انجمن های زیر زمینی برای میزان شناسایی پایین بسیار محبوب می باشد.

با وجود یک رابط کاربری ساده، Amadey اطلاعات زیادی را در اختیار مدیر botnet قرار می دهد، که می تواند ببیند که قربانی در کجا قرار دارد و از چه سیستم عاملی استفاده می کند و چه آنتی ویروسی بر روی آن نصب شده و چه زمان و تاریخی آنلاین بوده است.

گرچه شواهد محکمی مبنی بر ارتباط با REvil/Sodinokibi در حال حاضر وجود دارد، اما محقق AdvIntel می گوید سرنخ هایی وجود دارد که نشان می دهد truniger برای توزیع با اپراتورهای این خانواده از باج افزار که در همان سطح هستند، همکاری می کند.

این گروه، بدافزار رمزنگاری کننده ای که توزیع می کنند را مخفی نگه داشته اند، اما مشخص است که آنکه توسعه دادند نیست. برخی از جزئیات فاش شده در گزارش قبلی از AdvIntel نشان می دهد که آنها ممکن است در حال پخش REvil/Sodinokibi باشند، با توجه به اینکه عضو تیم به نام -TMT- که در دسترسی به شرکت ها متخصص می باشد، توسط Lalartu به این گروه باج افزار معرفی شده است.

مخاطب را درگیر نگه می دارد

به نظر می رسد که truniger می داند که چگونه تجارت خود را سرپا نگه دارد و از برخی مجرمان سایبری شهرت کسب کند. باآنکه این گروه کلا به دنبال پول در آوردن هستند، گاهی اوقات هم از تلاش های هکری خود اطلاعات رایگانی را به اشتراک می گذارند.

اگرچه هیچ چیز مهم و قابل توجهی منتشر نشده است. Boguslavskiy در پست امروز خود ذکر کرد که این گروه در پایان ماه آوریل اطلاعات خود را از شرکت فناوری اطلاعات آلمانی CityComp (ارائه دهنده زیرساخت های فناوری اطلاعات برای کمپانی های مختلف) به اشتراک گذاشت.

آنها به یک گروه هک بی نام که برای نشت ندادن فایل ها درخواست باج کرده بودند، اعتبار داده بودند. قربانی باج را پرداخت نکرد و آنها اطلاعات را عمومی کردند. کاربران سطح بالا در انجمن ارزش این اطلاعات را کم برآورد کردند.

رسانه ها این رخنه را چند روز قبل از اینکه truniger فایل ها را عمومی کند، اعلام کردند. این رسانه ها اعلام کردند که این سرقت شامل اطلاعات از کمپانی های بزرگ مثل Oracle، SAP، BT، Porsche، Toshiba، Volkswagan و Airbus. CityComp در یک بیانه ای این تهدید را تایید کرد.

این حادثه به گروهی که خودشان را Snatch می نامند نسبت داده شده است اما در گفتگوهای خصوصی truniger جزئیاتی را ارائه داد که می گوید "اطلاعات بر روی یک سرور نگهداری می شدند، پس از مدتی ما آنها را فاش کردیم زیرا آنها دیگر ارزشی نداشتند".

این تنها نمونه ای نبود که این گروه جزئیات جمع آوری شده از قربانیان را افشا کردند. در 23 ماه می، آنها 13 گیگ از چک های بیمه، اطلاعات نقل انتقالات بانکی و کارت های شناسایی شهروندان ایتالیایی را عمومی کردند. منبع یک شرکت بیمه ایتالیایی بود.

آنها همچنین برای دسترسی کامل ادمین بر روی شبکه اداره کل شهری ایتالیا یک مزایده ترتیب دادند. قیمت اولیه یک بیت کوین(8.000$) بود، با افزایش 0.2 بیت کوینی و فروش بلیط 5 بیت کوین که یکنفر پرداخت کرد.

در این اطلاعیه آمده است که بیش از 20 دستگاه، سرور و ایستگاه کاری در شبکه وجود دارد، بیش از 10 subnet با کلاس C و subnet های VoIP.

در تبلیغات جدیدتر از 17 ژوئیه، truniger دسترسی به نمایندگی KIA در کانادا را به مبلغ 3000$ را ارائه داد. داشتن دسترسی محدود و توزیع نکردن بدافزار در شبکه، دلیل این است که truniger پیشنهادهایی از این قبیل ارائه می دهد.

این عملیات و ظهور سریع این گروه به وضوح نتیجه تاثیر GandCrab است. فقط مدل کسب و کار نیست که برای دستیابی به موفقیت مهم است. تعامل اجتماعی با مجرمان سایبری، کارمندان بالقوه و شرکا بخشی از این بازی هستند.

پیشگیری و محافظت

برای محافظت در برابر باج افزار FuxSocy یا هر باج افزار دیگر، بسیار مهم است که عادات بد کامپیوتری کنار گذاشته شود و همچنین از یک آنتی ویروس امنیتی استفاده گردد. در وهله ی اول نیز میبایست یک بکاپ تست شده و قابل اتکا از اطلاعات خود داشته باشید که در موارد ضروری چون حملات باج افزار، بتوانید آن را restore نمایید. این بک آپ باید به صورت آفلاین ذخیره شود و برای باج افزار قابل دسترس نباشد.

همچنین به نکات و موارد امنیتی زیر نیز توجه فرمایید:

  • - بکاپ، بکاپ، بکاپ
     
  • - فایل های ضمیمه شده ی ناشناس در ایمیل یا هر درگاه ارتباطی را باز نکنید. همانطور که اکثر باج افزاران توسط اسپم گسترش می یابند، مهم است که تمام کاربران در مورد نحوه شناسایی اسپم های مخرب آموزش ببینند و هیچ فایل ضمیمه ای را بدون اینکه مطمئن شوند که چه کسی و چرا آن را فرستاده باز نکنند. علاوه بر این، اگر هر فایل ضمیمه ای از شما بخواهد که برای دیدن محتوا، ماکرو یا محتوایی را فعال کنید بلافاصله آن را ببندید و آن را در VirusTotal اسکن کنید و یا آن را با استفاده از آنتی ویروس هایی چون بیت دیفندر اسکن نمایید.
     
  • - از نصب تمامی به روز رسانی های ویندوز به محض عرضه ی آنان مطمئن شوید! همچنین از به روز رسانی تمامی نرم افزار های خود اطمینان حاصل فرمایید. به خصوص نرم افزار هایی چون جاوا، فلش و ادوب ریدر. برنامه های قدیمی حاوی نقص های امنیتی هستند که مرتبا توسط مهاجمین سو استفاده میشوند.
  •  
  • - از نصب نرم افزار های امنیتی و آنتی ویروس ها غافل نشوید. آنتی ویروس بیت دیفندر امکان مدیریت و محافظت کامل از شبکه و مجموعه ی شما را دارد. بیت دیفندر در دو زمینه ی بیت دیفندر سازمانی و بیت دیفندر خانگی آماده ی محافظت از مجموعه ی شماست. زمانی که بیت دیفندر را از نمایندگی بیت دیفندر خریداری نمایید از یکسال پشتیبانی بیت دیفندر توسط شرکت پانا فناور پارسیان بهره مند خواهید بود که با نیروی فنی متخصص توسط کمپانی بیت دیفندر به شما خدمات پشتیبانی خواهد داد. بیت دیفندر همچنین در تست معتبر لابراتوری مستقل av-comparatives.org نیز با شناسایی 100 درصد و شناسایی اشتباه صفر در فهرست برترین آنتی ویروس ها قرار دارد.
     
  • - از گذرواژه های سخت استفاده کنید. و از یک رمز عبور برای تمامی حساب های خود استفاده نکنید.
     
  • - اگر از سرویس های ریموت دسکتاپ استفاده میکنید از آن به صورت مستقیم به اینترنت استفاده نکنید و آن را در پشت فایروال قرار دهید و تنها از vpn استفاده کنید.
  •  

منبع: BleepingComputer.com