شناسایی باجافزاری جدید در پی نفوذ به سرورها
مهاجمان در جریان حملاتی هدفمند اقدام به آلودهسازی سرورهای سازمانها به باجافزاری خاص با مشخصهها و ویژگیهایی متمایز از سایر باجفزارها میکنند. به نظر میرسد که باجافزار مذکور اشتراکاتی با بدافزارهای مورد استفاده توسط برخی از گروههای تبهکار سایبری هکری دارد.
به گزارش البرز فاوا نیوز به نقل از معاونت بررسی مرکز افتا، در این تحقیق باجافزار جدیدی با عنوان PureLocker مورد بررسی قرار گرفته و دلیل انتخاب این نام برای این باجافزار، نوشته شدن آن به زبان برنامهنویسی PureBasic است.
توسعه باجافزار به زبان PureBasic کاری معمول در میان نویسندگان بدافزار محسوب نمیشود؛ بکارگیری این زبان برنامهنویسی در نوشتن بدافزار میتواند موجب تسهیل عبور کد مخرب از سد آن دسته از محصولات امنیتی شود که شناسایی و کالبدشکافی بدافزارهای مبتنی بر این زبان برنامهنویسی در آنها پیشبینی و لحاظ نشده است. ضمن اینکه زبان PureBasic از هر سه بستر Windows،Linux و OS-X پشتیبانی میکند. در نتیجه امکان سازگار کردن باجافزار برای هر کدام از بسترهای مذکور برای مهاجمان به سادگی فراهم است.
تحقیق نشان میدهد که تمرکز اصلی مهاجمان پشتپرده PureLocker بر روی رمزگذاری فایلهای ذخیره شده بر روی سرورها و اخاذی در ازای بازگرداندن آنها به حالت اولیه است. حملات باجافزای بر ضد سرورها معمولاً منجر به درخواست مبالغ هنگفتی در حد صدها دلار میشود که در برخی موارد نیز با تهدید از بین بردن دادهها در صورت عدم پرداخت باج در موعد مقرر توسط قربانی همراه است.
هدف قرار دادن سرورهایی همچون پایگاههای داده به نوعی تسخیر کردن حساسترین و کلیدیترین بخش زیرساخت فناوری اطلاعات سازمانهاست.
هنوز مشخص نیست که دقیقا PureLocker چطور به سیستم قربانی رخنه میکند. اما محققان این تحقیق اشاره کردهاند که همانطور که در کارزارهای مبتنی بر more_eggs از ایمیلهای فیشینگ بهره گرفته میشود ممکن است این باجافزار نیز از همین طریق و احتمالاً در فرایندی موسوم به دانلود چندمرحلهای کد مخرب به اهداف خود راه پیدا کند.
به گفته محققان، کارزار PureLocker همچنان فعال بوده و بسیار اهمیت دارد که سازمانها با اتخاذ سیاستهای امنیتی مناسب خود را در مقابل چنین تهدیداتی ایمن نگاه دارند. ضمن اینکه آموزش کارکنان و آگاهیرسانی به آنها در خصوص تهدیدات فیشینگ نیز از اهمیت بسزایی برخوردار است.
