باج افزار Bad Rabbit از اکسپلویت آلوده ی NSA استفاده میکند

باج افزار Bad Rabbit از اکسپلویت آلوده ی NSA استفاده میکند

گزارشات تکمیلی از سوی محققان شرکت سیسکو و تالون نیز به تازگی در مورد باج افزار Bad Rabbit منتشر شده است.

دو روز پس از شیوع فراگیر باج افزار Bad Rabbit که سازمان های دولتی و خصوصی در اروپای شرقی را زیر و رو کرد، محققان امنیتی همچنان در حال مطالعه ی جزییات بر روی این مخرب میباشند.

پس از روشن شدن روش تکثیر این مخرب که پخش از یک سیستم آلوده به یک سیستم دیگر توسط یک مکانیزم اسکن پیشرفته است، محققان از شرکت Cisco Talos و F-Secure خاطرنشان کردند که باج افزار Bad Rabbit از یک نسخه ی بهبود یافته ی اکسپلویت سازمان امنیت ملی آمریکا (NSA) استفاده میکند که پروسه ی آسیب پذیری باج افزار را تاثیرگذار تر میکند.

سومین موج حمله ی گسترده ی باج افزاران در سال جاری

این موج، سومین حمله ی گسترده ی باج افزاران در سال جاری است که از سلاح های سایبری ساخت سازمان NSA استفاده میکند و توسط یک گروه از مهاجمین و هکر ها تحت نام "سایه شکنان" به کار خود ادامه میدهند.

وانا کرای (wannacry) اولین موج باج افزاری بود که از سلاح سایبری سازمان امنیت ملی آمریکا (NSA) استفاده میکرد و اکسپلویت آلوده ی ETERNALBLUE را بر سازمان های مختلف پیکربندی کرد تا پس از مدتی شبکه های مختلف را در زمان مشخصی آلوده سازد.

یک ماه بعد باج افزار NotPetya نیز در شیوع وسیع خود، اکسپلویت های سابق چون EternalBlue و EternalRomance را برای استفاده از همان مقاصد به کار برد.

محققان اکسپلویت EternalRomance را در باج افزار Bad Rabbit نیز پیدا کردند

زمانی که شیوع باج افزار خرگوش بد صورت گرفت، محققان انتظار داشتند که یک مورد مشابه پیدا کنند، اما تحلیل های اولیه، ابزاری مشابه از NSA پیدا نکرد.

گزارشات اولیه اذعان داشت که آنان از Mimikatz برای حذف گذرواژه از حافظه ی سیستم های آلوده استفاده میکنند که با استفاده از یک سری کد های کردنشیال برای دسترسی به اشتراک گذاری های SMB بر روی بستر همان شبکه به کار میبرند.

بر اساس یک به روز رسانی در گزارش خرگوش بد، شرکت Cisco Talos اعلام کرد که پس از کنده کاری و نفوذ عمیق متخصصان به کد های این باج افزار، آنان شواهدی از اکسپلویت EternalRomance که یک ابزار اکسپلویت NSA میباشد را پیدا کردند. لازم به ذکر است که این اکسپلویت از  طریق SMB انتقال پیدا میکند.

در ابتدا اثری از اکسپلویت نبود زیرا جهش یافته بود

این یک پیاده سازی ساده نبود، چرا که تغییرات و جهش های زیادی در کد های اکسپلویت صورت گرفته بود. همچنین خیلی از محققان و اسکن های خودکار سیستم ها نیز آن را شناسایی نکردند.

یافته های سیسکو نیز توسط شرکت F-Secure نیز تایید شده است، علاوه بر این، سیسکو اطلاعات بیشتری را ارائه داده است که صحت این موضوع که خرگوش بد و پتیا توسط یک سازنده ساخته شده اند را تایید میکند.

" ما با اطمینان کامل میگوییم که خرگوش بد کدبیس های هسته ی باج افزار قبلی ساخته شده است، طراحی شد. همینطور ابزار زنجیره ای که برای Bad Rabbit ساخته شده است نیز برای NotPetya نیز انجام شده است.

بیت دیفندر مانع از نفوذ باج افزار BadRabbit به سیستم یا سازمان میشود

اگر از راهکار امنیتی بیت دیفندر برای سازمان یا سیستم خانگی خود استفاده میکنید، جای نگرانی نیست. آنتی ویروس بیت دیفندر اکسپلویت آلوده ی Bad Rabbit را با نام Gen.Heur.Ransom.BadRabbit.1 و Gen:Variant.Ransom.BadRabbit.1 میشناسد. مشتریان و کاربرانی که از محصول Elite بیت دیفندر استفاده میکنند نیز توسط رفتارشناسی پیچیده تر ماشین بیت دیفندر و شناسایی الگوریتم ها این آلودگی را تحت نام Gen:Illusion.ML.Skyline.10101 شناسایی میکند و آن را متوقف میسازد.

در آخر و اما مهمترین، شما میبایست نکات و جزییات امنیتی را رعایت کنید:

  • بکاپ، بکاپ، بکاپ!!!
  • فایل های ضمیمه شده ی ناشناس را باز نکنید
  • فایل های ضمیمه شده را با راهکار امنیتی خود اسکن کنید.
  • از نصب و دریافت تمامی به روز رسانی های ویندوز خود در تاریخ عرضه ی آنان مطمئن باشید! همچنین از به روز رسانی نرم افزار های ضروری چون Java , Flash و Adobe Reader اطمینان حاصل فرمایید. نرم افزار های قدیمی دارای نقص و رخنه های امنیتی بسیاری هستند که توسط هکران و مهاجمان قابل بهره جویی هستند، در این صورت به روز رسانی آنان نیز حائز اهمیت است.
  • از نصب یک راهکار امنیتی قوی و قابل اطمینان غافل نشوید. آنتی ویروس بیت دیفندر امکان فراهم نمودن سطوح مختلف امنیت برای هرگونه پلتفرم را دارد. بیت دیفندر خانگی و بیت دیفندر سازمانی را میتوانید برای سیستم های خود برگزینید. طبق لابراتوری معتبر av-comparatives.org، بیت دیفندر در حال حاضر جزو بهترین آنتی ویروس های موجود در میان دیگر راهکار های امنیتی میباشد.
  • از گذر واژه های دشوار برای حساب های خود استفاده کنید و از یک رمز عبور برای همه ی آنان استفاده نکنید.