محققان یک سویه جدید از باجافزار که به سال 2019 برمیگردد و افراد و مشاغل کوچک را هدف قرار میدهد و از هر مشتری باجهای کوچک میخواهد تا مبالغ میلیون دلاری که بازیگران معمولی باجافزار میخواهند.
محققان شرکت تجزیه و تحلیل امنیتی و عملیاتی Netenrich در یک پست وبلاگی که این هفته منتشر شد فاش کردند TZW جدیدترین گونه از خانواده باج افزار Adhubllka است که برای اولین بار در ژانویه 2020 ظاهر شد اما سال قبل فعال بود.
حتی مهمتر از کشف سویه، فرآیندی است که محققان برای شناسایی صحیح آن انجام دادند. راکش کریشنان، تحلیلگر ارشد تهدید در Netenrich میگوید در طول سالها، بسیاری از نمونههای Adhubllka به اشتباه طبقهبندی شده و/یا در خانوادهی باجافزار دیگری اشتباه گرفته شدهاند.
او میگوید: «این موضوع شکارچیان تهدید/محققان امنیتی را در حین انجام گزارش حادثه سردرگم میکند. در واقع، محققان گزارش می دهند که چندین موتور قبلاً TZW را شناسایی کرده بودند اما ردی از بدافزارهای دیگر مانند CryptoLocker را در نمونه پیدا کردند.
علاوه بر این، نامهای دیگری قبلاً به همان قطعه اختصاص داده شده بود، از جمله ReadMe، MMM، MME، GlobeImposter2.0که همگی در واقع به خانواده باج افزار Adhubllka تعلق دارند. کریشن می گوید که تمام این سردرگمی ها مستلزم کندوکاو بیشتر در شجره نامه گونه باج افزار برای شناسایی آن با انتساب مناسب است.
"این تحقیق همچنین ردیابی یک خانواده از باج افزارها را با استفاده از کانال های ارتباطی [بازیگران تهدید] و ابزارهای دیگر، از جمله ایمیل های تماس، یادداشت های باج و روش اجرا، که همگی نقش حیاتی در تجزیه و تحلیل داشتند، روشن می کند." او اضافه می کند.
رکینگ ادوبلکا
ادوبلکا اول توجه بیشتری را به خود جلب کرد محققان خاطرنشان کردند که در ژانویه 2020، اما سال قبل "بسیار فعال" بود. گروه تهدید TA547 از انواع Adhubllka در کمپین های خود با هدف قرار دادن بخش های مختلف استرالیا در سال 2020 استفاده کرد.
یک دلیل کلیدی که شناسایی TZW به عنوان اسپین آف Adhubllka برای محققان بسیار دشوار بود، به دلیل باجگیری اندکی است که این گروه معمولاً انجام میدهد - 800 تا 1,600 دلار. در آن سطح پایین، قربانیان اغلب به مهاجمان و مهاجمان همچنان زیر رادار به پرواز در می آیند.
این باج افزار، مانند سایرین، از طریق آن تحویل داده می شود فیشینگ کریشنان میگوید: کمپینها، اما منحصربهفرد بودن آنها در این است که آنها فقط افراد و شرکتهای کوچک را هدف قرار میدهند، بنابراین خبر بزرگی در کانال رسانهای ایجاد نمیکنند. با این حال، این بدان معنا نیست که [Adhubllka] در زمان آینده بزرگتر نخواهد شد، زیرا آنها قبلاً به روز رسانی های لازم را در زیرساخت های خود انجام داده بودند.
در واقع، در آینده، محققان پیشبینی میکنند که این باجافزار ممکن است با نامهای دیگری تغییر نام دهد. گروه های دیگر نیز ممکن است از آن برای راه اندازی کمپین های باج افزار خود استفاده کنند.
کریشنان میگوید: «با این حال، تا زمانی که عامل تهدید شیوه ارتباط خود را تغییر ندهد، ما میتوانیم همه این موارد را به خانواده ادوبلکا ردیابی کنیم.»
کلیدهای شناسایی
در واقع، کلیدی که محققان برای پیوند دادن آخرین کمپین به Adhubllka استفاده کردند، ردیابی دامنههای Tor قبلاً مرتبط شده توسط بازیگر بود، با این که تیم سرنخهایی را از درون یادداشت باجگیری کشف کرد که به قربانیان داده میشد تا آن را به منبع ردیابی کنند.
در یادداشت، بازیگر تهدید از قربانیان میخواهد که از طریق پورتال قربانی مبتنی بر Tor ارتباط برقرار کنند تا پس از پرداخت باج، کلیدهای رمزگشایی را دریافت کنند. طبق این پست، این یادداشت نشان میدهد که گروه کانال ارتباطی خود را از URLهای Tor Onion v2 به v3 Tor URL تغییر داده است، "زیرا انجمن Tor دامنههای v2 Onion را منسوخ کرده است".
علاوه بر این، یک جمله اضافی در یادداشت - "سرور با رمزگشای شما در یک شبکه بسته Tor است" - فقط در دو نوع جدید Adhubllka مشاهده شد: TZW و U2K، به گفته محققان، که انتساب را بیشتر محدود کرد.
سرنخ های دیگری که به وضوح به آخرین نوع Adhubllka اشاره می کرد، استفاده کمپین از آدرس ایمیل بود. [ایمیل محافظت شده]، به طور گسترده به عنوان متعلق به گروه باج افزار گزارش شده است و پیوند آن با نمونه نوع MD5 Adhubllka که در سال 2019 مشاهده شد.
تحقیق به طور کلی نشان می دهد که چگونه باجافزار کریشنان میگوید که به دقت ساخته شده است تا شکارچیان تهدید را از مسیر مجرمان سایبری دور کند و اهمیت دفاع در برابر حملات را با ایجاد یک راهحل امنیتی نقطه پایانی تقویت کند.
او میگوید: «با این حال، زمانی که باجافزاری جدیداً شکل گرفته/کدگذاری شده است، تنها با آموزشهای امنیتی اولیه، مانند کلیک نکردن روی لینکهای مخرب ارسالشده از طریق ایمیل، میتوان آن را خنثی کرد».
در واقع، مهم ترین حمایت ها برای سازمان ها نهفته است جلوگیری از باج افزار کریشن می افزاید: از ورود به یک محیط در وهله اول، «که به معنای جستجوی ناهنجاری های رفتاری، تشدید امتیازات، و معرفی رسانه های قابل جابجایی مشکوک به یک محیط است».
- محتوای مبتنی بر SEO و توزیع روابط عمومی. امروز تقویت شوید.
- PlatoData.Network Vertical Generative Ai. به خودت قدرت بده دسترسی به اینجا.
- PlatoAiStream. هوش وب 3 دانش تقویت شده دسترسی به اینجا.
- PlatoESG. خودرو / خودروهای الکتریکی، کربن ، CleanTech، انرژی، محیط، خورشیدی، مدیریت پسماند دسترسی به اینجا.
- PlatoHealth. هوش بیوتکنولوژی و آزمایشات بالینی. دسترسی به اینجا.
- ChartPrime. بازی معاملاتی خود را با ChartPrime ارتقا دهید. دسترسی به اینجا.
- BlockOffsets. نوسازی مالکیت افست زیست محیطی. دسترسی به اینجا.
- منبع: https://www.darkreading.com/threat-intelligence/ransomware-with-an-identity-crisis-targets-small-businesses-individuals