محققان یک سویه جدید از باجافزار که به سال 2019 برمی‌گردد و افراد و مشاغل کوچک را هدف قرار می‌دهد و از هر مشتری باج‌های کوچک می‌خواهد تا مبالغ میلیون دلاری که بازیگران معمولی باج‌افزار می‌خواهند.

محققان شرکت تجزیه و تحلیل امنیتی و عملیاتی Netenrich در یک پست وبلاگی که این هفته منتشر شد فاش کردند TZW جدیدترین گونه از خانواده باج افزار Adhubllka است که برای اولین بار در ژانویه 2020 ظاهر شد اما سال قبل فعال بود.

حتی مهمتر از کشف سویه، فرآیندی است که محققان برای شناسایی صحیح آن انجام دادند. راکش کریشنان، تحلیلگر ارشد تهدید در Netenrich می‌گوید در طول سال‌ها، بسیاری از نمونه‌های Adhubllka به اشتباه طبقه‌بندی شده و/یا در خانواده‌ی باج‌افزار دیگری اشتباه گرفته شده‌اند.

او می‌گوید: «این موضوع شکارچیان تهدید/محققان امنیتی را در حین انجام گزارش حادثه سردرگم می‌کند. در واقع، محققان گزارش می دهند که چندین موتور قبلاً TZW را شناسایی کرده بودند اما ردی از بدافزارهای دیگر مانند CryptoLocker را در نمونه پیدا کردند.

علاوه بر این، نام‌های دیگری قبلاً به همان قطعه اختصاص داده شده بود، از جمله ReadMe، MMM، MME، GlobeImposter2.0که همگی در واقع به خانواده باج افزار Adhubllka تعلق دارند. کریشن می گوید که تمام این سردرگمی ها مستلزم کندوکاو بیشتر در شجره نامه گونه باج افزار برای شناسایی آن با انتساب مناسب است.

"این تحقیق همچنین ردیابی یک خانواده از باج افزارها را با استفاده از کانال های ارتباطی [بازیگران تهدید] و ابزارهای دیگر، از جمله ایمیل های تماس، یادداشت های باج و روش اجرا، که همگی نقش حیاتی در تجزیه و تحلیل داشتند، روشن می کند." او اضافه می کند.

رکینگ ادوبلکا

ادوبلکا اول توجه بیشتری را به خود جلب کرد محققان خاطرنشان کردند که در ژانویه 2020، اما سال قبل "بسیار فعال" بود. گروه تهدید TA547 از انواع Adhubllka در کمپین های خود با هدف قرار دادن بخش های مختلف استرالیا در سال 2020 استفاده کرد.

یک دلیل کلیدی که شناسایی TZW به عنوان اسپین آف Adhubllka برای محققان بسیار دشوار بود، به دلیل باج‌گیری اندکی است که این گروه معمولاً انجام می‌دهد - 800 تا 1,600 دلار. در آن سطح پایین، قربانیان اغلب به مهاجمان و مهاجمان همچنان زیر رادار به پرواز در می آیند.

این باج افزار، مانند سایرین، از طریق آن تحویل داده می شود فیشینگ کریشنان می‌گوید: کمپین‌ها، اما منحصربه‌فرد بودن آن‌ها در این است که آن‌ها فقط افراد و شرکت‌های کوچک را هدف قرار می‌دهند، بنابراین خبر بزرگی در کانال رسانه‌ای ایجاد نمی‌کنند. با این حال، این بدان معنا نیست که [Adhubllka] در زمان آینده بزرگتر نخواهد شد، زیرا آنها قبلاً به روز رسانی های لازم را در زیرساخت های خود انجام داده بودند.

در واقع، در آینده، محققان پیش‌بینی می‌کنند که این باج‌افزار ممکن است با نام‌های دیگری تغییر نام دهد. گروه های دیگر نیز ممکن است از آن برای راه اندازی کمپین های باج افزار خود استفاده کنند.

کریشنان می‌گوید: «با این حال، تا زمانی که عامل تهدید شیوه ارتباط خود را تغییر ندهد، ما می‌توانیم همه این موارد را به خانواده ادوبلکا ردیابی کنیم.»

کلیدهای شناسایی

در واقع، کلیدی که محققان برای پیوند دادن آخرین کمپین به Adhubllka استفاده کردند، ردیابی دامنه‌های Tor قبلاً مرتبط شده توسط بازیگر بود، با این که تیم سرنخ‌هایی را از درون یادداشت باج‌گیری کشف کرد که به قربانیان داده می‌شد تا آن را به منبع ردیابی کنند.

در یادداشت، بازیگر تهدید از قربانیان می‌خواهد که از طریق پورتال قربانی مبتنی بر Tor ارتباط برقرار کنند تا پس از پرداخت باج، کلیدهای رمزگشایی را دریافت کنند. طبق این پست، این یادداشت نشان می‌دهد که گروه کانال ارتباطی خود را از URLهای Tor Onion v2 به v3 Tor URL تغییر داده است، "زیرا انجمن Tor دامنه‌های v2 Onion را منسوخ کرده است".

علاوه بر این، یک جمله اضافی در یادداشت - "سرور با رمزگشای شما در یک شبکه بسته Tor است" - فقط در دو نوع جدید Adhubllka مشاهده شد: TZW و U2K، به گفته محققان، که انتساب را بیشتر محدود کرد.

سرنخ های دیگری که به وضوح به آخرین نوع Adhubllka اشاره می کرد، استفاده کمپین از آدرس ایمیل بود. [ایمیل محافظت شده]، به طور گسترده به عنوان متعلق به گروه باج افزار گزارش شده است و پیوند آن با نمونه نوع MD5 Adhubllka که در سال 2019 مشاهده شد.

تحقیق به طور کلی نشان می دهد که چگونه باجافزار کریشنان می‌گوید که به دقت ساخته شده است تا شکارچیان تهدید را از مسیر مجرمان سایبری دور کند و اهمیت دفاع در برابر حملات را با ایجاد یک راه‌حل امنیتی نقطه پایانی تقویت کند.

او می‌گوید: «با این حال، زمانی که باج‌افزاری جدیداً شکل گرفته/کدگذاری شده است، تنها با آموزش‌های امنیتی اولیه، مانند کلیک نکردن روی لینک‌های مخرب ارسال‌شده از طریق ایمیل، می‌توان آن را خنثی کرد».

در واقع، مهم ترین حمایت ها برای سازمان ها نهفته است جلوگیری از باج افزار کریشن می افزاید: از ورود به یک محیط در وهله اول، «که به معنای جستجوی ناهنجاری های رفتاری، تشدید امتیازات، و معرفی رسانه های قابل جابجایی مشکوک به یک محیط است».

• محتوای مبتنی بر SEO و توزیع روابط عمومی. امروز تقویت شوید.
• PlatoData.Network Vertical Generative Ai. به خودت قدرت بده دسترسی به اینجا.
• PlatoAiStream. هوش وب 3 دانش تقویت شده دسترسی به اینجا.
• PlatoESG. خودرو / خودروهای الکتریکی، کربن ، CleanTech، انرژی، محیط، خورشیدی، مدیریت پسماند دسترسی به اینجا.
• PlatoHealth. هوش بیوتکنولوژی و آزمایشات بالینی. دسترسی به اینجا.
• ChartPrime. بازی معاملاتی خود را با ChartPrime ارتقا دهید. دسترسی به اینجا.
• BlockOffsets. نوسازی مالکیت افست زیست محیطی. دسترسی به اینجا.
• منبع: https://www.darkreading.com/threat-intelligence/ransomware-with-an-identity-crisis-targets-small-businesses-individuals