Red Alert وMonster : باج افزار چندپلتفرمه از راه رسید

در راستای روند باج افزارهای میان پلتفرمی، کسپرسکی گروه های باج افزاری جدیدی را کشف کرده که یاد گرفته اند بدافزار خود را همزمان با سیستم عامل های مختلف سازگار کنند و در نتیجه به سازمان های بیشتری آسیب برسانند. تحقیقات اخیر کارشناسان کسپرسکی از فعالیت گروه های Red Alert و Monster پرده برداشت که بدون توسل به زبان های چندپلتفرمی، موفق به انجام حملاتی به سیستم عامل های مختلف شدند. علاوه بر این، کارشناسان اکسپلویت های یک روزه ای را شرح دادند که ممکن است توسط گروه های باج افزاری به منظور دستیابی به اهداف مالی خود اجرا شوند.

در طول سال ۲۰۲۲، محققان امنیتی کسپرسکی شاهد استفاده گسترده از امکانات میان پلتفرمی توسط گروه های باج افزاری بوده اند. این روزها، آن ها قصد دارند با تطبیق کد بدافزار خود با چندین سیستم عامل ، به بیش ترین سیستم های ممکن آسیب برسانند. کسپرسکی پیش از این گروه هایی را که از زبان های چندپلتفرمی Rust یا Golang استفاده می کردند، برای مثال Luna یا BlackCat توصیف کرده بود. با این حال، این بار گروه های باج افزاری گزارش شده بدافزارهایی را به کار می گیرند که به زبان بین پلتفرمی نوشته نشده اند، اما همچنان می توانند سیستم عامل های مختلف را به صورت همزمان هدف قرار دهند.

یکی از این گروه ها به نام RedAlert از بدافزاری استفاده می کند که به زبان ساده C نوشته شده و در نمونه لینوکس شناسایی شده است. بااین حال، بدافزار توسعه یافته توسط ردموندی ها به صراحت از محیط های ESXi پشتیبانی می کند. جنبه دیگری که RedAlert را از دیگر گروه های باج افزاری جدا می کند، این است که آن ها تنها پرداخت ها در رمزارز مونرو را می پذیرند و ردیابی پول را سخت تر می کنند. اگرچه چنین رویکردی ممکن است از دیدگاه مجرمان منطقی باشد، اما مونرو در همه کشورها و با هر مبادله ای پذیرفته نمی شود، بنابراین قربانیان ممکن است با مشکل پرداخت باج مواجه شوند.

گروه باج افزاری دیگری که در جولای ۲۰۲۲ شناسایی شد، Monster است که از دلفی، یک زبان برنامه نویسی با اهداف عمومی برای نوشتن بدافزار خود استفاده می کند که البته در سیستم های مختلف گسترش می یابد. چیزی که این گروه را خاص می کند این است که رابط کاربری گرافیکی (GUI)دارد ( بخشی که تا به حال توسط گروه های باج افزار پیاده سازی نشده است). علاوه بر این، مجرمان سایبری در جریان یک حمله هدفمند مداوم، حملات باج افزاری را از طریق خط فرمان به صورت خودکار اجرا کردند. براساس نمونه استخراج شده توسط کارشناسان کسپرسکی، نویسندگان باج افزار Monster، GUI را به عنوان پارامتر خط فرمان اختیاری در نظر گرفته اند.

Monster به کاربران در سنگاپور، اندونزی و بولیوی حمله کرد.

گزارش منتشر شده توسط Kaspersky همچنین اکسپلویت های به اصطلاح ۱ روزه مورد استفاده برای حمله به ویندوز ۷ تا ۱۱ را پوشش می دهد. اکسپلویت یک روزه معمولا به اکسپلویت آسیب پذیری از قبل پچ شده اشاره دارد و همیشه مساله پچ کردن سیاست در سازمان آسیب دیده را مطرح می کند. مثال ارائه شده در مورد آسیب پذیری CVE - ۲۰۲۲ - ۲۴۵۲۱ است که به مهاجم اجازه می دهد امتیازات سیستم را در دستگاه آلوده به دست آورد. دو هفته پس از افشای این آسیب پذیری در آوریل ۲۰۲۲، توسعه این دو اکسپلویت به طول انجامید. نکته جالب در مورد این اکسپلویت ها این است که از نسخه های مختلف ویندوز پشتیبانی می کنند. این معمولا نشان می دهد که مهاجمان سازمان های تجاری را هدف قرار داده اند. همچنین، هر دو اکسپلویت پیام های اشکال زدایی بسیاری را به اشتراک می گذارند. یکی از موارد کشف شده شامل حملات به یک زنجیره خرده فروشی در منطقه APAC می شود - با این حال، هیچ داده اضافی در مورد آنچه مجرمان سایبری در تلاش برای دستیابی به آن بودند، وجود ندارد.

" ما کاملا به گروه های باج افزاری عادت کرده ایم که بدافزارهای نوشته شده به زبان بین پلتفرمی را گسترش می دهند. با این حال، این روزها مجرمان سایبری یاد گرفته اند که کده ای مخرب خود را که به زبان های برنامه نویسی ساده نوشته شده اند، برای حملات مشترک تنظیم کنند و این موضوع باعث شده تا متخصصان امنیتی راه های شناسایی و جلوگیری از تلاش های باج افزارها را شرح دهند. همچنین، به اهمیت بازبینی و به روزرسانی مداوم سیاست های پچ که توسط شرکت ها اعمال می شوند، جلب می کنیم."

برای کسب اطلاعات بیشتر در مورد گروه‌های باج‌افزار RedAlert و Monster و همچنین بهره‌برداری‌های یک روزه، لطفاً گزارش کامل Securelist را بررسی کنید.

برای محافظت از خود و کسب و کارتان در برابر حملات باج افزار، قوانین پیشنهادی کسپرسکی را دنبال کنید:

1. سرویس های دسکتاپ از راه دور مانند RDPرا در معرض شبکه های عمومی قرار ندهید مگر اینکه کاملا ضروری باشند و همیشه از رمزهای عبور قوی برای آن ها استفاده کنید.

2. وصله های موجود برای راه حل های تجاری VPN را نصب کنید که دسترسی کارمندان دورکار را فراهم می کند و به عنوان دروازه در شبکه شما عمل می کند.

3. همیشه نرم افزار را روی تمام دستگاه هایی که استفاده می کنید به روز نگه دارید تا از سواستفاده باج افزارها از آسیب پذیری ها جلوگیری کنید.

4. استراتژی دفاعی خود را بر تشخیص حرکات جانبی و خروج داده ها از اینترنت متمرکز کنید. توجه ویژه ای به ترافیک خروجی برای تشخیص ارتباطات مجرمان سایبری داشته باشید.

5. پشتیبان گیری منظم از داده ها. مطمئن شوید که می توانید در مواقع اضطراری به سرعت به آن دسترسی داشته باشید.

6. از راه حل هایی مانند Kaspersky Endpoint Detection and Response و سرویس Kaspersky Managed Detection and Response استفاده کنید که به شناسایی و متوقف کردن حمله در مراحل اولیه، پیش از رسیدن مهاجمان به اهداف نهایی کمک می کند.

7. برای حفاظت از محیط شرکت، به کارمندان خود آموزش دهید. دوره های آموزشی اختصاصی می توانند کمک کنند، مانند دوره های ارائه شده در پلتفرم آگاهی امنیتی خودکار کسپرسکی.

8. از یک راه حل امنیتی نقطه پایانی قابل اعتماد، مانند Kaspersky Endpoint Security for Business استفاده کنید که با پیش گیری از اکسپلویت، تشخیص رفتار و یک موتور اصلاح کار می کند که قادر به بازگرداندن اقدامات مخرب است. KESB همچنین مکانیزم های دفاع شخصی دارد که می تواند از حذف آن توسط مجرمان سایبری جلوگیری کند.

9. از آخرین اطلاعات Threat Intelligence استفاده کنید تا از TTPهای واقعی استفاده شده توسط عوامل تهدید آگاه بمانید. پورتال اطلاعاتی تهدیدات کسپرسکی یک نقطه دسترسی واحد برای TI کسپرسکی است که داده‌های حملات سایبری و بینش‌هایی را ارائه می‌کند که توسط تیم ما به مدت ۲۵ سال جمع‌آوری شده است. کسپرسکی برای کمک به کسب‌وکارها برای فعال کردن دفاعی مؤثر در این زمان‌های پرتلاطم، دسترسی به اطلاعات مستقل، به‌روزرسانی مداوم و منبع جهانی در مورد حملات سایبری و تهدیدات مداوم را بدون پرداخت هزینه اعلام کرده است.