پایگاه خبری تحلیلی اخبار محرمانه

آخرين مطالب

دسترسی به شبکه آلوده توسط باج افزار ها سياسي

دسترسی به شبکه آلوده توسط باج افزار ها

  بزرگنمايي:

اخبار محرمانه - به گزارش گرداب، Ryuk به عنوان باج‌افزاری هدفمند شناخته می‌شود که پس از شناسایی اهداف خود، از طریق سرویس‌های Remote Desktop یا دیگر روش‌های مستقیم، به آن‌ها دسترسی پیدا کرده، اطلاعات حساس را به سرقت برده و سپس داده‌ها و سرورهای با ارزش بالا را هدف قرار می‌دهد تا بیشترین مقدار باج ممکن را دریافت کند.
به گزارش معاونت بررسی مرکز افتا، به نقل از BleepingComputer، بدافزار Ryuk به دلیل تاثیر گسترده در شبکه‌هایی که آلوده می‌کند، باج‌های درخواستی بالا و همچنین گزارش‌هایی مبنی بر دریافت 3,7 میلیون دلار از قربانیان، از باج‌افزارهای شناخته شده و مهم است. اخیرا، Ryuk در حمله‌ای استفاده شده که توزیع روزنامه‌های بزرگی چون وال استریت ژورنال، نیویورک تایمز و لس آنجلس تایمز را تحت تاثیر قرار داده است.
پژوهش‌های جدید نشان می‌دهد که عاملان حملات Ryuk ممکن است از دیگر بدافزارها برای به دست آوردن دسترسی به شبکه قربانی استفاده کنند؛ پژوهشگران مشاهده کرده‌اند که از بدافزار TrickBot برای دسترسی به شبکه‌های آلوده استفاده شده است. هنگامی که این بدافزارها رایانه‌ای را آلوده می‌کنند، shell معکوسی برای دیگر مهاجمان ایجاد می‌کنند، تا آن‌ها بتوانند به صورت دستی به سایر بخش‌های شبکه نفوذ کرده و payloadهای خود را نصب کنند. این نوع دسترسی با عنوان TEMP.MixMaster شناخته شده که اشاره به نصبRyuk پس از آلوده شدن سیستم توسط TrickBot دارد.
Ryuk تنها باج‌افزاری نیست که شرکت‌ها را هدف قرار می‌دهد. بات Dridex نیز توسط عاملان BitPaymer استفاده شده است، در حالی که SamSam همچنان بدون استفاده از دیگر بدافزارها برای به دست آوردن دسترسی، مستقیما قربانیان را هدف قرار می‌دهد.
این دو گروه از دسترسی تعاملی استفاده می‌کنند که آن‌ها را قادر می‌سازد تا باج‌افزار خود را به صورت هماهنگ به حیاتی‌ترین سیستم‌های یک سازمان ارسال و از یک اپراتور انسانی برای مذاکرات پرداخت استفاده ‌کنند. این روش توسط گروه سومی که از با‌ج‌افزار SamSam برای اخاذی از قربانیان استفاده می-کند، نیز بهره‌برداری می‌شود.
TrickBot معمولا در عملیات‌های گسترده ایمیل اسپم، شامل پیوست‌هایی که بدافزار موردنظر را بر روی رایانه نصب می‌کنند، توزیع می‌شود. TrickBot می‌تواند از طریق بدافزار دیگری به نام Emotet نیز نصب شود که از طریق ایمیل‌های اسپم توزیع می‌شود.
عملیات‌های ایمیل اسپم در پوشش شرکت‌های قانونی مختلف شروع به ارسال ایمیل‌هایی می‌کنند که در قالب مشاوره پرداخت HSBC، نامه‌های دستمزد، اسناد بانک Lloyds و برنامه‌های دستمزد Deloitteهستند.
پس از نصبTrickBot ، یک shell معکوس برای مهاجمان ایجاد می‌شود ، که به آن‌ها اجازه دسترسی از راه دور به رایانه آلوده و نصب Ryuk در سرتاسر شبکه را می‌دهد. این کار معمولا با دانلود یک ابزار PowerShell به نام Empire انجام می‌شود. Empire ابزاری است که به مهاجمان اجازه می‌دهد تا یک payload را به سرعت در یک شبکه توزیع کنند و در عین حال ناشناس باقی بمانند.
این مهاجمان از Empire برای سرقت اطلاعات احرازهویت در دیگر رایانه‌های شبکه استفاده و سپس باج‌افزار Ryuk را بر روی اهداف ارزشمند نصب می‌کنند. پس از نصب، باج‌افزار فایل‌ها را رمزگذاری کرده، پسوند آن‌ها را به .RYK تغییر داده و یادداشت‌های باج‌خواهی را در فایلRyukReadMe.txt قرار می‌دهد.
استفاده از TrickBot به این معنا نیست که عاملان Ryuk از هدف قرار دادن قربانیان و به‌دست‌آوردن دسترسی از طریق خدمات باز مانند Remote Desktop Services دست کشیده‌اند. بلکه همکاری با TrickBot، به معنای ایجاد فرصت بیشتری برای دسترسی به شبکه برای Ryuk است.
منبع: سایبربان




نظرات شما

ارسال دیدگاه

Protected by FormShield

ساير مطالب

29 بهمن تبریز؛ سرسلسله قیام‌های انقلاب اسلامی

برخورد قاطع سپاه با صیادهای چینی

انتقاد پزشکیان از افراطی‌گری‌هایی که با آن برخورد نمی‌شود

تجلیل 221 نماینده از حضور مردم در راهپیمایی "22 بهمن"

پیام تسلیت جهانگیری در پی درگذشت همشیره آیت‌الله هاشمی

پاکستان حرمت همسایه را نگاه نمی‌دارد!

سناتور دموکرات آمریکا از پشت ایران در آمد

داوودی: پذیرش FATF تحریم‎های فلج‎کننده در پی دارد

آیت‌الله ممدوحی: می‌خواهند دست و پایمان را زنجیر کنند

چرا آمریکا کالا‌های لوکس را تحریم نمی‌کند؟

لاریجانی عازم چین شد

احمدی‌نژاد دوباره با یک رسانه اصلاح‌طلب به مصاحبه نشست

بازدید روحانی از یک محله محروم

تذکرات کتبی نمایندگان به مسئولان اجرایی کشور

رئیس دستگاه قضا: مردم دارای فهم سیاسی عمیق شده‌اند

قرائت کیفرخواست محیط زیستی‌ها پایان یافت

آملی‌لاریجانی‌: بیانیه «گام دوم انقلاب» منبعث از یک روح بزرگ است

هادی خامنه‌ای درگذشت پوران شریعت رضوی را تسلیت گفت

بررسی آخرین تحولات سوریه در نشست کمیسیون امنیت ملی مجلس

سردار صفوی: سیستان و بلوچستان با بودجه‌های مختصر دولتی قابل پیشرفت نیست

جهانگیری: عده‌ای حسود دنبال زمین‌زدن ثروتمندان هستند

آیت‌الله نوری‌همدانی: ایمان اولین سرمایه نیروهای مسلح در ایران است

روایت نماینده مجلس از پرونده نوبخت

لاریجانی: ایران و چین همیشه ارتباطات نزدیکی با یکدیگر داشته‌اند

حدادعادل: شرایط امروز مانند مرداد 32 است

مطهری: شهید مطهری اولین فردی بود که امام را در قم کشف کرد

دبیرخانه بیانیه «گام دوم انقلاب» در مرکز پژوهش‌های‌ مجلس تشکیل می‌شود

قزاقستان حادثه تروریستی زاهدان را محکوم کرد

جزئیات شکایت نوبخت از امضا کنندگان نامه به رئیس جمهور

آخرین وضعیت مرزبانان ربوده شده در میرجاوه

پیغام محکم سرلشکر باقری به تروریست‌ها

واکنش «فلاحت‌پیشه» به ادعای ترامپ درباره داعش

رئیس جمهور: انصاف و مروت نیست که کارهای بزرگ دولت را نادیده بگیریم

پاسخ فرانسه به گزافه‌گویی معاون ترامپ درباره اینستکس

روایت روحانی از تکلیف مقام رهبری به ایشان در دوران دفاع مقدس

انتقاد رئیس جمهور از اختلافات و بهانه‌جویی ها بر سر مسائل جزئی

صادرات رادیوداروهای ایران به 15 کشور جهان

توکلی: اگر مردم مرفه بودند FATF را نمی‌پذیرفتیم

انتظار ایران از دولت پاکستان درباره ماجرای خونبار

روحانی: پیروزی بزرگ ما در سازمان ملل چند بار توسط صدا و سیما و روزنامه ها اعلام شد؟

روایت سردار باقری از اقدامات پاکستان ‌علیه گروهک‌های تروریستی

هشدار رهبر انقلاب درباره اروپا؛ مراقب خدعه آنها باشید

خلأ قانونی اخذ رأی در انتخابات پس از ساعت 24 رفع می‌شود

ضرب شست سپاه به عاملان جنایت تروریستی زاهدان

پاسخ‌گویی به سبک نوبخت؛ معاون روحانی طلبکار شد

حمله تند و نوبرانه مهناز افشار به روحانی

وقتی رئیس جمهور فرانسه به مقاله شریعتمداری استناد می‌کند!

تشکر رهبر انقلاب از حضور پرشور مردم در 22 بهمن

توضیح کاظم جلالی درباره تحرکات انتخاباتی لاریجانی

اظهارات مهم رهبر انقلاب درباره حادثه تروریستی زاهدان