به گزارش گروه علم وفناوری خبرگزاری ایمنا، ماه گذشته میلادی بود که تعداد زیادی از کاربران کشورهای اروپایی از جمله انگلستان از آلوده شدن سیستم خود به باج افزار واناکرای خبر دادند. سو استفاده هکرها از سیستم کاربران به واسطه باج افزارها موضوع جدیدی نبود؛ اما در ماه آوریل گروه “The Shadow Brokerss” با انتشار اطلاعاتی، از بهرهگیری واناکرای از یک آسیب پذیری پیچیده موسوم اترنال بلو (EternalBlue) خبر داد و مدعی توسعه آن توسط آژانس امنیت ملی ایالات متحده آمریکا یا به اختصار “NSA” شد. با تکیه بر این موضوع، میتوان گفت هکرها از یک سلاح سایبری پیشرفته و در سطوح ملی در برابر شهروندان و سیستمهای ساده آنها استفاده کردهاند. این موضوع درست شبیه آن است که بخواهید با تانک آبرامز به دنبال سرقت از بانک یک شهر کوچک باشید.
حالا بعد از یک ماه، با نوع جدیدی از باج افزارها که میتوان آن را در خانواده باج افزار پتیا (Petya) قرار داد، رو به رو هستیم که بر اساس گزارشها، هزاران سیستم مختلف در سراسر جهان از جمله کمپانیهای چند ملیتی بزرگ “Maersk” ،”Rosneft” و “Merck” را آلوده کرده است. پتیا هنوز از اترنال بلو استفاده میکند، اما تا به این لحظه بسیاری از سازمانهایی که هدف قرار گرفته بودند در برابر آن ایمن شدهاند و دیگر نیازی به نگرانی در مورد این روزنه نیست. در عوض، نوع جدید باج افزار پتیا از رخنهها و نقاط آسیب پذیر اساسیتر در اجرای شبکهها یا مهمتر از آن، ارائه وصلههای نرم افزاری مختلف، بهرهبرداری میکند. در واقع شاید آنها به اندازه کدهای مخرب NSA قابل توجه و چشمگیر نباشند، اما به مراتب قدرت بالاتری داشته و میتوانند سازمانها را با تلاش برای بازگشت به حالت عادی، در شرایط سختتری قرار دهند.
باج افزار پتیا شبکه شرکتهای بزرگ و ایمن را آلوده کرده است
دیو کندی (Dave Kennedy) با ارسال توییتی جدید، از آلوده شدن بیش از ۵ هزار سیستم در کمتر از ۱۰ دقیقه خبر داده است. همچنین این باج افزار با بازنویسی اولین سکتور هارد دیسک، موجب ناپایداری سیستم و ری استارت شدن آن با نمایش پیام مربوطه میشود.
اگرچه واناکرای سیستمهای ضعیف را هدف قرار میداد، اما این نوع جدید از باج افزار پتیا شبکه شرکتهای بزرگ و ایمن را آلوده کرده است که میتوان آن را الگویی برای پخش شدن این ویروس در نظر گرفت. زمانی که یک کامپیوتر در شبکهای خاص آلوده میشد، پتیا با استفاده از ابزارهای شبکه همچون “WMI” و “PsExec”، کامپیوترهای دیگر آن شبکه را نیز آلوده میکرد.
معمولا از هر دو این ابزارها به منظور دسترسی از راه دور با سطوح مدیریتی استفاده میشود، اما یکی از محققان حوزه امنیت، لسلی کارهارت (Lesley Carhart)، میگوید اغلب، هکرها از آنها برای انتشار بدافزار در یک شبکه آلوده استفاده میکنند. به عقیده وی، استفاده از WMI روشی بسیار موثر و مداوم برای هکرها بوده و به ندرت توسط ابزارهای امنیتی مسدود میشود. ابزار Psexec نیز با وجود نظارت بیشتر روی آن، هنوز هم کارآمدی بسیار بالایی دارد.
برخی مواقع، حتی شبکههایی که در برابر اترنال بلو ایمن شده بودند نیز در برابر حملههایی که از طریق شبکه داخلی آنها انجام میشد، آسیب پذیر بودند. به گفته شان سالیوان (Sean Sullivan) از “F-Scure”، چنین چیزی در ادامه حملههای سایبری مشهور پتیا در گذشته هستند که کمپانیهای بزرگ را برای دریافت پول، هدف قرار داده بود.
این حملهها به عنوان گروهی برای هدف قرار دادن تجارتهای مختلف آغاز شده است و شما باید از رخنهای استفاده کنید که برای آسیب زدن و دریافت باج از شرکتهای تجاری، فوقالعاده باشد.
جنبه آزاردهنده این داستان در جایگاه اول، نحوه آلوده شدن این کامپیوترها به باج افزار پتیا است. به گفته محققان “Talos Intelligence”، احتمالا این باج افزار از طریق آپدیتی جعلی برای یکی از سیستمهای حسابداری کشور اوکراین با نام “MeDoc” پخش شده است. اگرچه MeDoc این ادعا را رد کرده، اما گروهی دیگر از متخخصان نیز با اشاره به یک امضای دیجیتال جعلی در دریافت این آپدیت، نسبت به یافتههای Talos ابراز نگرانی کردهاند. در صورت کارآمد بودن این امضا برای هکرها، میتوان گفت راهی تمیز و مناسب برای دسترسی به تقریبا تمام سیستمهای مجهز به این نرم افزار وجود داشته است.
رد پای سنگین پتیا در سازمانهای داخلی کشور اوکراین
از طرفی، این فرضیه رد پای سنگین پتیا در سازمانهای داخلی کشور اوکراین را نیز توجیه خواهد کرد چرا که ۶۰ درصد سیستمهای آلوده، در این کشور هستند و بانک مرکزی و بزرگترین فرودگاه اوکراین نیز شامل آن میشوند.
این اولین باری نیست که هکرها با آلوده کردن سیستمهایی با آپدیت خودکار اقدام به پخش بدافزارها میکنند؛ هرچند، این حملهها معمولا به کشورهای ایالتی محدود بودهاند. در سال ۲۰۱۲ و در اقدامی که بسیاری آن را به دولت آمریکا نسبت میدهند، هکرها با آلوده کردن پروسه آپدیت سیستم عامل ویندوز، بدافزار شعله (Flame) را وارد ایران کردند. سال ۲۰۱۳ نیز حملهای سایبری روی بانکها و ایستگاههای تلویزیونی کره جنوبی، سبب پخش شدن بدافزارها در سیستمهای داخلی این کشور شود.
محقق امنیتی مرکز “NYU”، جاستین کاپوس (Justin Cappos)، کسی که روی ایمن کردن روشهای ارائه وصلههای نرم افزاری به عنوان بخشی از “The Update Framework” فعالیت دارد، معتقد است این کاستیهای زیربنایی به شکل قابل توجهی مشترک هستند. معمولا سازمانهای مختلف موفق به تایید آپدیتها نشده و یا کارهای لازم برای ایمن کردن موارد زیربنایی را انجام نمیدهند. در همین زمان، آپدیتهای نرم افزاری یکی از قدرتمندترین راهها برای آلوده کردن سیستمها خواهند بود. کاپوس در رابطه با این بدافزار که معمولا با دسترسی مدیریتی اجرا میشود، میگوید: این قطعه نرم افزاری در کامپیوتر هر کسی وجود داشته، اتصالاتی را ایجاد میکند که تمایل به رمزگذاری دارند و از تمام دیوارهای آتش شما عبور میکند.
۱۴ کشور دنیا آلوده به باج افزار پتیا
تا به امروز، باج افزار پتیا در بیش از ۱۴ کشور دنیا از جمله ایران، آمریکا، مکزیک و برزیل نفوذ پیدا کرده و احتمالا در روزهای آینده، کشورهای بیشتری به آن آلوده خواهند شد. بخش نگرانکننده و غافلگیرکننده ماجرا این است که آخرین نسخه این باج افزار از همان اکسپلویتی استفاده میکند که در جریان حملات واناکرای نیز باعث آلودگی بیش از ۲۰۰ هزار سیستم رایانهای در سراسر دنیا شد. با وجود آپدیتها و وصلههای امنیتی و توصیههایی که برای مقابله با باج افزار واناکرای ارائه شد، هنوز هم بسیاری از کاربران و شرکتها به این توصیهها عمل نکردهاند و در خطر انواع حملات سایبری قرار دارند.
بر اساس گزارشی که در سایت پلیس فتای ایران منتشر شد، کشورهای اروپایی بیشتر از سایر قارهها درگیر این باج افزار شدهاند و اوکراین نیز بیشترین آلودگی را تا به امروز داشته است. مترو کیف، بانک ملی اوکراین و چند فرودگاه این کشور، ۳۶ تراکنش بیت کوین مربوط به باج افزار را ثبت کردهاند که مجموع مبالغ آن نزدیک به ۹ هزار دلار میشود.
باج افزار پتیا چگونه حملات خود را انجام میدهد؟
باج افزار پتیا طوری طراحی شده تا آلودگی گستردهای را ایجاد کند. این باج افزار برای ایجاد آلودگی از آسیب پذیری اترنال بلو (EternalBlue) استفاده میکند و زمانی که از این آسیبپذیری با موفقیت استفاده شد، باج افزار خود را در سیستم هدف کپی کرده و اجرا میشود. سپس Petya شروع به رمزنگاری فایلها و MBR کرده و یک زمانبند برای ریبوت کردن سیستم پس از یک ساعت به کار گرفته میشود.
چیزی که پتیا را از دیگر باج افزارها متمایز میکند این است که به جای ویندوز از سیستم عامل کوچک خود استفاده میکند و به همین دلیل میتواند ساختارهای حیاتی سیستم فایل کامپیوتر را در صورت راهاندازی مجدد آن روی دیسک بوت رمزنگاری کند. اگر سیستم به شکل موفقیتآمیزی آلوده شود، پتیا صفحهای را به زبان انگلیسی به نمایش درمیآورد و از کاربر خواسته میشود تا ۳۰۰ دلار پول را در قالب بیت کوین به کیف پولی که به آدرس posteo.net متصل است واریز کند.
در صورتی که فایلهای سیستم توسط باج افزار پتیا رمزنگاری شود، دیگر هیچ روشی برای بازگرداندن آن وجود نخواهد داشت و در حال حاضر، پیشگیری تنها راه حل موجود برای مقابله با این باج افزار است؛ حتی در صورت پرداخت وجه مورد درخواست نیز تضمینی برای رمزگشایی فایلها وجود ندارد.
چگونه از حملات باج افزار Petya در امان باشیم؟
در زمان حملات واناکرای، توصیههایی به کاربران شد که این توصیهها در مورد پتیا هم صدق میکند. اول از همه حتما آخرین بهروزرسانیهای امنیتی را بر روی سیستمهای رایانهای خود نصب کنید. در پی حمله باج افزاری WannaCry، مایکروسافت نیز وصلههای امنیتی جدیدی را برای سیستمعاملهایی که دیگر از آنها پشتیبانی نمیکرد، مانند ویندوز ایکس پی و ویندوز سرور ۲۰۰۳ عرضه کرد تا از امنیت سیستمهای قدیمی هم مطمئن شود.
علاوه بر آن، پیش از باز کردن فایلهای پیوست ایمیل، از بابت فرستنده آن اطمینان حاصل کنید. فراهم کردن فیلترینگ مناسب و قوی برای فیلتر کردن اسپمها و جلوگیری از ایمیلهای فیشینگ، اسکن کردن ایمیلهای ورودی و خروجی و فیلتر کردن فایلهای اجرایی برای کاربران و بک آپ گرفتن دورهای از اطلاعات حساس از جمله راهکارهایی است که برای جلوگیری از آلوده شدن به باج افزار پتیا توصیه میشود.
همچنین بهترین شیوه برای مقابله با این باج افزار، داشتن یک پشتیبان مطمئن است. با توجه به این که رمزنگاری مورد استفاده در این باج افزار، فوقالعاده ایمن است، تنها راه جهت دستیابی دوباره به دادهها پس از آلوده شدن به باج افزار، برگرداندن فایلها از طریق پشتیبان خواهد بود. همانطور که گفته شد، مهمترین عامل آلوده شدن به پتیا، اکسپلویت اترنال بلو بوده که این آسیبپذیری، چند ماه پیش با بهروزرسانی امنیتی مایکروسافت برطرف شد؛ بنابراین از نصب این بهروزرسانیهای حیاتی غافل نشوید. ذخیره کردن بک آپها بر روی فضای ابری یا Cloud و همینطور فضای ذخیرهسازی فیزیکی آفلاین نیز از اهمیت بسیاری برخوردار هستند؛ چرا که برخی از باج افزارها این توانایی را دارند که حتی بک آپهای فضای ابری را نیز قفل کنند.
نظر شما