شناسایی یکی از اجزای تقویت کننده حملات باج افزاری

شناسایی یکی از اجزای تقویت کننده حملات باج افزاری

به گزارش سئو مئو به تازگی بدافزاری توسعه یافته که به سرعت به یکی از اجزاء کلیدی در تقویت حملات باج افزاری تبدیل گشته است.
به گزارش سئو مئو به نقل از ایسنا، بدافزار بامبل بی (Bumblebee) توسط محققان امنیت سایبری در Symantec مورد تحلیل و بررسی قرار گرفته است که آنرا به عملیات باج افزار همچون Conti Mountlocker و Quantum مرتبط کرده اند. وبسایت زدنت اعلام نمود که ویشال کمبل، مهندس اصلی تحلیل و بررسی تهدید در تیم تهدید سیمانتک، اظهار داشت: پیوندهای بامبل بی به برخی از عملیات باج افزارهای پرمخاطب نشان داده است که حالا در مرکز اکوسیستم جرایم سایبری قرار دارد.
حمله اخیری که به کوانتوم انجام شد، چگونگی استفاده از بامبل بی توسط مجرمان سایبری برای عرضه باج افزار را روشن می کند. حمله با یک ایمیل فیشینگ حاوی یک فایل iSO شروع می شود که بارگذار بامبل بی را پنهان می کند و در صورت باز شدن پیوست، آنرا روی دستگاه قربانی اجرا می کند.
بامبل بی یک در پشتی روی کامپیوتر شخصی مهاجمان را فراهم می آورد و آنها را قادر می سازد تا کنترل عملیات و اجرای دستورات را به دست گیرند. از اینجا، مهاجمان برای کنترل بیشتر و توانایی جمع آوری اطلاعات بیشتر از دستگاه که می تواند به انجام حمله کمک نماید، Cobalt Strike را روی سیستم اجرا می کنند. بعد از این، بامبل بی بار باج افزار کوانتومی را رها می کند و فایل ها را روی دستگاه قربانی رمزگذاری می کند.
تکنیک های مشابهی در کمپین های گروههای باج افزار Conti و Mountlocker استفاده شده و محققان معتقدند که بامبل بی جای درهای پشتی را گرفته است. کمبل می گوید: بامبل بی امکان دارد بعنوان یک جایگزین برای Trickbot و BazarLoader معرفی شده باشد، چونکه بین فعالیتهای اخیر در ارتباط با بامبل بی و حملات قدیمی تر در رابطه با این لودرها همپوشانی وجود دارد.
فیشینگ مبحث رایجی است که در کمپین های باج افزار اجرا می شود. در موردی که محققان توضیح دادند، بدافزار از راه یک ایمیل فیشینگ تحویل داده شد، اما باندهای باج افزار از حملات فیشینگ هم برای سرقت نامهای کاربری و رمز عبور، بخصوص برنامه ها و سرویسهای مبتنی بر ابر استفاده می نمایند.
در حالیکه باج افزار هنوز یک مساله مهم امنیت سایبری است، اقداماتی وجود دارد که میتوان برای پیشگیری از حملات انجام داد. این موارد شامل استفاده از احراز هویت چندعاملی در سرتاسر حساب ها جهت کمک به پیشگیری از دسترسی مهاجمان به شبکه ها و همینطور استفاده سریع وصله های امنیتی برای پیشگیری از سوءاستفاده مجرمان سایبری از صدمه پذیری های شناخته شده است.
همینطور برای کسب و کارها مهم می باشد که شبکه های خویش را برای فعالیتهای بالقوه غیرعادی رصد کنند، چونکه این امر می تواند نشانه ای از اشتباه بودن چیزی باشد و تیم های امنیت اطلاعات می توانند برای پیشگیری از حمله باج افزار کامل اقدام نمایند. در این حوزه کمبل اظهار داشت: هر سازمانی که یک عفونت بامبل بی را در شبکه خود کشف کند، باید با این حادثه با اولویت بالایی برخورد کند، چونکه این بدافزار می تواند مسیری برای چندین تهدید خطرناک باج افزار باشد.