پایگاه خبری تحلیلی اخبار محرمانه

آخرين مطالب

دسترسی به شبکه آلوده توسط باج افزار ها سیاسی

دسترسی به شبکه آلوده توسط باج افزار ها

  بزرگنمايي:

اخبار محرمانه - به گزارش گرداب، Ryuk به عنوان باج‌افزاری هدفمند شناخته می‌شود که پس از شناسایی اهداف خود، از طریق سرویس‌های Remote Desktop یا دیگر روش‌های مستقیم، به آن‌ها دسترسی پیدا کرده، اطلاعات حساس را به سرقت برده و سپس داده‌ها و سرورهای با ارزش بالا را هدف قرار می‌دهد تا بیشترین مقدار باج ممکن را دریافت کند.
به گزارش معاونت بررسی مرکز افتا، به نقل از BleepingComputer، بدافزار Ryuk به دلیل تاثیر گسترده در شبکه‌هایی که آلوده می‌کند، باج‌های درخواستی بالا و همچنین گزارش‌هایی مبنی بر دریافت 3,7 میلیون دلار از قربانیان، از باج‌افزارهای شناخته شده و مهم است. اخیرا، Ryuk در حمله‌ای استفاده شده که توزیع روزنامه‌های بزرگی چون وال استریت ژورنال، نیویورک تایمز و لس آنجلس تایمز را تحت تاثیر قرار داده است.
پژوهش‌های جدید نشان می‌دهد که عاملان حملات Ryuk ممکن است از دیگر بدافزارها برای به دست آوردن دسترسی به شبکه قربانی استفاده کنند؛ پژوهشگران مشاهده کرده‌اند که از بدافزار TrickBot برای دسترسی به شبکه‌های آلوده استفاده شده است. هنگامی که این بدافزارها رایانه‌ای را آلوده می‌کنند، shell معکوسی برای دیگر مهاجمان ایجاد می‌کنند، تا آن‌ها بتوانند به صورت دستی به سایر بخش‌های شبکه نفوذ کرده و payloadهای خود را نصب کنند. این نوع دسترسی با عنوان TEMP.MixMaster شناخته شده که اشاره به نصبRyuk پس از آلوده شدن سیستم توسط TrickBot دارد.
Ryuk تنها باج‌افزاری نیست که شرکت‌ها را هدف قرار می‌دهد. بات Dridex نیز توسط عاملان BitPaymer استفاده شده است، در حالی که SamSam همچنان بدون استفاده از دیگر بدافزارها برای به دست آوردن دسترسی، مستقیما قربانیان را هدف قرار می‌دهد.
این دو گروه از دسترسی تعاملی استفاده می‌کنند که آن‌ها را قادر می‌سازد تا باج‌افزار خود را به صورت هماهنگ به حیاتی‌ترین سیستم‌های یک سازمان ارسال و از یک اپراتور انسانی برای مذاکرات پرداخت استفاده ‌کنند. این روش توسط گروه سومی که از با‌ج‌افزار SamSam برای اخاذی از قربانیان استفاده می-کند، نیز بهره‌برداری می‌شود.
TrickBot معمولا در عملیات‌های گسترده ایمیل اسپم، شامل پیوست‌هایی که بدافزار موردنظر را بر روی رایانه نصب می‌کنند، توزیع می‌شود. TrickBot می‌تواند از طریق بدافزار دیگری به نام Emotet نیز نصب شود که از طریق ایمیل‌های اسپم توزیع می‌شود.
عملیات‌های ایمیل اسپم در پوشش شرکت‌های قانونی مختلف شروع به ارسال ایمیل‌هایی می‌کنند که در قالب مشاوره پرداخت HSBC، نامه‌های دستمزد، اسناد بانک Lloyds و برنامه‌های دستمزد Deloitteهستند.
پس از نصبTrickBot ، یک shell معکوس برای مهاجمان ایجاد می‌شود ، که به آن‌ها اجازه دسترسی از راه دور به رایانه آلوده و نصب Ryuk در سرتاسر شبکه را می‌دهد. این کار معمولا با دانلود یک ابزار PowerShell به نام Empire انجام می‌شود. Empire ابزاری است که به مهاجمان اجازه می‌دهد تا یک payload را به سرعت در یک شبکه توزیع کنند و در عین حال ناشناس باقی بمانند.
این مهاجمان از Empire برای سرقت اطلاعات احرازهویت در دیگر رایانه‌های شبکه استفاده و سپس باج‌افزار Ryuk را بر روی اهداف ارزشمند نصب می‌کنند. پس از نصب، باج‌افزار فایل‌ها را رمزگذاری کرده، پسوند آن‌ها را به .RYK تغییر داده و یادداشت‌های باج‌خواهی را در فایلRyukReadMe.txt قرار می‌دهد.
استفاده از TrickBot به این معنا نیست که عاملان Ryuk از هدف قرار دادن قربانیان و به‌دست‌آوردن دسترسی از طریق خدمات باز مانند Remote Desktop Services دست کشیده‌اند. بلکه همکاری با TrickBot، به معنای ایجاد فرصت بیشتری برای دسترسی به شبکه برای Ryuk است.
منبع: سایبربان




نظرات شما

ارسال دیدگاه

Protected by FormShield

ساير مطالب

بادامچیان: مردم در انتخابات به افراد پاکدست رای دهند

انتقاد صادق خرازی از پدرخوانده‌های اصلاح‌طلب

عضو جدید کمیسیون امنیت ملی مجلس انتخاب شد

نظر سخنگوی وزارت خارجه دولت اصلاحات درباره مذاکره

درخواست زنانه ذوالقدر از رئیسی

سلیمی: دولت قوانین مصوب مجلس را اجرا نمی‌کند

نفت‌کش ایرانی در حال ترک جبل‌الطارق است

واکنش ایران به حمله تروریستی مرگبار در کابل

ماجرای نامه‌ نانوشته آملی لاریجانی

عملیات تغییر نام نفتکش «گریس 1» به «آدریان دریا»

دریادار تنگسیری: اگر حادثه‌ای رخ دهد، کشورهای جنوب خلیج فارس از تشنگی می‌میرند

گمانه‌زنی‌ها از برنامه ظریف در سفر به کویت

کاهش 38درصدی تجمعات اعتراضی در سال جاری

با یک بار شارژ، ده برابر آن را استفاده کنید!

اظهارات خرازی درباره پیروزی دیپلماتیک ایران و شکست انگلیس

سخنگوی هیئت رئیسه مجلس "معاون روحانی" را تهدید کرد

تدابیر وزارت امور خارجه برای خنثی کردن توطئه‌های آمریکا

برنامه تازه مجلس علیه آمریکا؛ از تحریم بولتون تا شکایت از هالیوود

روایت نماینده مشهد از پشت‌پرده دوام کابینه دولت روحانی

واکنش فاضل میبدی به نقل قول جنجالی از آیت‌الله یزدی

تعریفی متفاوت از رئیسی

احمدی‌نژاد و محصولی در روزهای اول جوانی

ظریف راهی کویت شد

برجام پوتین و مکرون را به میز مذاکره کشاند

جزئیاتی از دیدار عراقچی با همتای ژاپنی

کاندیداهای عضویت کمیسیون امنیت ملی مجلس مردود شدند

واکنش سردار سلیمانی به پیام رهبر انقلاب برای گروهای جهادی

عاقبت هم بندشدن آفتابه دزدها با مفسدان اقتصادی

روایت رئیس مجلس از دسیسه‌های ناکارآمد انگلیس

مشکلات مجلس در سوال از وزرا

داستان حماسه شکست حصر پاوه

پرونده تیراندازی محمودآباد روی میز کمیسیون امنیت ملی

تصاویر جدید از داخل شهرک باستی هیلز

گله ابتکار از فضای رسانه

پیش‌بینی‌ تاجرنیا از انتخابات آینده مجلس

واکنش زاهدی به شائبه اختلاف میان اصولگرایان

نماینده مجلس: جمهوری اسلامی با هیچ‌کس تعارف ندارد

دیدار اعضای انجمن دوستی ایران و کویت با ظریف

دستور کار امروز مجلس

اصلاح یک لایحه در مجلس به منظور تامین نظر شورای نگهبان

نظر شریعتمداری درباره عملکرد رئیسی

دغدغه صادق خرازی در آستانه انتخابات

محبیان: زیاد سر به سر مردم نگذارید

سالار آقاخان با «اطلس جت» در ساختمان شیشه‌ ای میرداماد!

مطهری برای نحوه اداره صداوسیما نسخه پیچید

واکنش رسانه‌های منطقه به سفر ظریف

علت رفع توقیف نفتکش ایرانی از زبان بادامچیان

اینگونه بازار را کف دست خود بگیرید!

دوست دارید یک وب‌‌‌‌‌‌‌‌‌‌‌ سایت و ‌‌‌‌‌‌فروشگاه آنلاین بدون محدودیت بسازید؟!

فضولی دولت ترامپ در ماجرای گریس 1؛ دادگاه آمریکا حُکم توقیف صادر کرد!