یکشنبه 9 آذر 1399   05:46:27
 

باج‌افزار NetWalker





بر طبق گزارشی که شرکت امنیتی مک‌آفی آن را منتشر کرده گردانندگان باج‌افزار NetWalker از ماه مارس سال میلادی جاری موفق به دریافت حداقل ۲۵ میلیون دلار از قربانیان خود شده‌اند.

NetWalker خانواده‌ای از باج‌افزارهاست که در آگوست ۲۰۱۹ ظهور کرد. اگر چه اولین نسخ آن تحت عنوان Mailto فعالیت می‌کردند اما خیلی زود، از اواخر ۲۰۱۹ به NetWalker تغییر نام پیدا کرد.

آمار مک‌آفی نشان می‌دهد ایران در فهرست اهداف اصلی NetWalker قرار دارد.

بخش تحقیقات پیشرفته تهدیدات شرکت مک‌آفی که به تازگی گزارش جامعی در خصوص عملیات‌های NetWalker منتشر کرده با رصد نشانی‌های بیت‌کوین مرتبط با مهاجمان این باج‌افزار اعلام کرده که تنها در کمتر از شش ماه گذشته قربانیان بیش از ۲۵ میلیون دلار به مهاجمان پرداخت کرده‌اند.

این تخمین یکی از مطرح‌ترین شرکت‌های امنیتی دنیا، NetWalker را در کنار باج‌افزارهای معروفی همچون Ryuk،و Dharma و Revil – که با نام Sodinokibi نیز شناخته می‌شود – قرار می‌دهد.

گردانندگان NetWalker امکان استفاده از آن را در قالب خدمات موسوم به “باج‌افزار به‌عنوان سرویس” Ransomware-as-a-Service  به اختصار RaaSبرای سایر مهاجمان به ویژه هکرهای روسی‌زبان فراهم کرده‌اند.

همچنین به تازگی این افراد با تبلیغ در تالارهای گفتگو در تلاشند تا مهاجمان باتجربه و مجهز به منابع لازم برای رخنه به شبکه‌های بزرگ را جذب کرده و از آنها در اجرای حملات هدفمند کمک بگیرند.

ظاهراً نویسندگان NetWalker همچون برخی دیگر از هم‌قطاران حرفه‌ای خود به این نتیجه رسیده‌اند که تمرکز بر روی سازمان‌های بزرگ و اخاذی هنگفت از آنها سودمندتر از انتشار انبوه باج‌افزار و باج‌گیری مبالغ به مراتب کم از قربانیان عادی است.

از جمله روش‌های رخنه اولیه مهاجمان NetWalker به شبکه که در گزارش مک‌آفی به آن اشاره شده می‌توان به موارد زیر اشاره کرد:

• بهره‌جویی (Exploit) از آسیب‌پذیری‌های امنیتی در سرویس‌هایی همچون Tomcat و WebLogic که در بستر اینترنت قابل دسترس هستند.
• اجرای حملات فیشینگ هدفمند (Spear Phishing) بر ضد حداقل یکی از کارکنان سازمان
• سوءاستفاده از پودمان Remote Desktop Protocol – به اختصار RDP
FBI نیز در هشداری از بهره‌جویی مهاجمان NetWalker از آسیب‌پذیری CVE-2019-11510 در سرورهای Pulse Secure VPN و CVE-2019-18935 در Telerik UI خبر داده است.

 این افراد در جریان گسترش آلودگی در سطح شبکه، از آسیب‌پذیری‌های CVE-2020-0796،و CVE-2019-1458،و CVE-2017-0213 و CVE-2015-1701 برای ترفیع سطح دسترسی (Elevation of Privilege) خود استفاده می‌کنند.

در حالی که تا قبل از ماه مارس سال میلادی جاری، روش برقراری ارتباط با مهاجمان، ایمیل‌های درج شده در فایل‌های موسوم به اطلاعیه باج‌گیری (Ransom Note) بود اکنون مدتی است قربانی برای اطلاع از روش پرداخت باج، به سایت اختصاصی NetWalker در شبکه ناشناس TOR هدایت می‌شود.

مهاجمان حاضر به دادن تخفیف ۱۰ درصدی در صورت پرداخت باج ظرف ۷ روز شده‌اند.

نکته نگران‌کننده‌ اینکه مهاجمان نام و اطلاعات قربانیانی را که از پرداخت باج خودداری می‌کنند افشا می‌کنند. در حقیقت پس از دسترسی یافتن به سیستم‌ها ابتدا داده‌های حساس را سرقت کرده و سپس اقدام به رمزگذاری فایل‌ها می‌کنند. اگر سازمان در جریان مذاکره از پرداخت باج خودداری کند مهاجمان در سایت موسوم به Leak Portal خود نام آن را افشا کرده و شمارش معکوس برای نشت اطلاعات آغاز می‌شود. در صورت عدم پرداخت باج در مهلت مقرر اطلاعات سرقت شده از شبکه قربانی منتشر می‌شود.

فن‌آوری‌های نسخه ۱۰.۷ نرم‌افزار McAfee Endpoint Security قادر به شناسایی و مقابله با این باج‌افزار و فایل‌های مرتبط با آن هستند.

سازوکارهای یادگیری ماشین و حفاظت مبتنی بر رفتار McAfee Endpoint Security با شناسایی تکنیک‌ها و بهره‌جوهای جدید دامنه فعالیت این نوع تهدیدات را کاهش می‌دهند.

مشروح گزارش مک‌آفی در لینک ذیل قابل دریافت و مطالعه است.

https://www.mcafee.com/blogs/other-blogs/mcafee-labs/take-a-netwalk-on-the-wild-side

منبع:

https://newsroom.shabakeh.net/21682/netwalker-ransomware.html




کلمات کليدي
 
امتیاز دهی
 
 

تعداد بازديد اين صفحه: 48762
تعداد بازديد کنندگان سايت: 164709161 تعداد بازديد زيرپورتال: 50085 اين زيرپورتال امروز: 31 سایت در امروز: 6491 اين صفحه امروز: 30
کلیه حقوق این سایت متعلق به وزارت نفت جمهوری اسلامی ایران میباشد.
استفاده از اطلاعات این سایت با ذکر منبع بلامانع است.
Best View in 1024x768