باج‌افزار خرگوش بد برای گسترش یافتن از بهره‌برداری آژانس امنیت ملی آمریکا استفاده می‌کند

برخلاف گزارش‌های اولیه، باج‌افزار خرگوش بد که در این هفته به روسیه و اوکراین ضربه زد، در حقیقت وسیله‌ی نفوذ و بهره‌برداری آژانس امنیت ملی (NSA) آمریکا می‌باشد. بدافزار پاک‌کننده‌ی نات‌پِتیا که ده‌ها هزار سامانه را در اواخر ماه ژوئن آلوده کرد، باج‌افزار خرگوش بد نیز برای گسترش خود درون شبکه‌ی آسیب‌دیده از پروتکل بلوک پیام کارگزار (SMB) استفاده می‌کند. با این حال، محققان در ابتدا ادعا کردند که برخلاف نات‌پِتیا، این باج‌افزار هیچ‌یک از بهره‌برداری‌های SMB که با عنوان EternalBlue و EternalRomance ارزیابی شده‌اند را استفاده نکرده است.

 

درحالی‌که ظاهرا باج‌افزار خرگوش بد از EternalBlue استفاده نمی‌کند، در واقع EternalRomance را برای گسترش خود در شبکه به‌کار می‌گیرد. وقوع این بهره‌برداری اولین‌بار توسط سیسکو تالوس گزارش و بعدا توسط F-Secure تایید شد. آسیب‌پذیری EternalRomance در ماه مارس سال ۲۰۱۷ میلادی توسط مایکروسافت و با انتشار یک بولتن امنیتی مطرح شد. مایکروسافت در این بولتن امنیتی، بهره‌برداری‌های EternalChampion، EternalBlue و EternalSynergy را نیز وصله کرده بود.

 

جزئیات این آسیب‌پذیری‌ها در اوایل سال جاری توسط یک گروه از نفوذگران که خود را Shadow Brokers می‌نامند، عمومی شد. این گروه ادعا می‌کند که این بهره‌برداری و بسیاری از بهره‌برداری‌های دیگر را از آژانس امنیت ملی به‌دست آورده و این بهره‌برداری‌ها توسط یکی از گروه‌های شناخته شده برای آژانس در صنعت امنیت سایبری با عنوان گروه Equation، مورد استفاده قرار گرفته‌اند. هنگامی‌که این بهره‌برداری‌ها توسط گروه Shadow Broker در ماه آوریل عمومی شدند، مایکروسافت اشاره کرد که آن‌ها پیش از این وصله شده‌اند. به‌همین دلیل، برخی بر این باورند که این غول فناوری، در مورد آسیب‌پذیری‌ها از خود آژانس امنیت ملی آگاه‌تر است.

 

تجزیه و تحلیل اولیه، ارتباط‌های بسیاری را میان باج‌افزار خرگوش بد و بدافزار نات‌پِتیا، از جمله هدف قرار دادن روسیه و اوکراین، باینری‌های امضاءشده با گواهی‌نامه‌های منقضی شده، استفاده از Mimikatz برای به سرقت بردن گواهی‌نامه، راه‌اندازی مجدد و پایداری از طریق وظایف زمان‌بندی شده، حذف ثبت رویداد و مجله‌های تغییر USN و شیوه‌ی یکسان رمزنگاری پرونده‌ها و قابلیت‌های باج‌افزاری نشان داد. یکی از مهم‌ترین تفاوت‌ها، این واقعیت است که به‌نظر می‌رسد خرگوش بد، یک باج‌افزار واقعی است و حداقل در تئوری، کاربران می‌توانند درصورت پرداخت باج، پرونده‌های رمزنگاری‌شده‌ی خود را بازیابی کنند. از سوی دیگر، نات‌پِتیا به‌دلیل این حقیقت که قابلیت‌های پرداخت باج به‌درستی اجرا نشده و بنابراین بازیابی پرونده‌ها غیرممکن است، به‌عنوان یک پاک‌کننده طبقه‌بندی می‌شود.

 

یکی دیگر از تفاوت‌های عمده، این واقعیت است که باج‌افزار خرگوش بد عمدتا شرکت‌ها، به‌ویژه در روسیه را تحت تاثیر قرار می‌دهد. با این حال، لازم به ذکر است که بسیاری از قربانیان در اوکراین، شرکت‌های با پروفایل رده بالا می‌باشند. بدافزار نات‌پِتیا با عامل تهدیدکننده‌ی روسیه که با نام گروه BlackEnergy ،TeleBots و Sandworm شناخته شده است، مرتبط می‌باشد که نشان می‌دهد این همان گروهی است که ممکن است پشت حملات باج‌افزار خرگوش بد نیز باشد، اگرچه همه بر این عقیده نیستند. تجزیه و تحلیل زیرساخت‌های باج‌افزار خرگوش بد نشان داد که برخی از دامنه‌های مخرب مورد استفاده در این حمله، حداقل از ماه ژوئیه تنظیم شده و برخی از کارگزارهای تزریقی، برای اولین‌بار بیش از یک سال پیش دیده شده‌اند.

 

0
هنوز هیچ ستاره‌ای موجود نیست.

افزودن یک دیدگاه جدید