بازگشت باجافزاری قدیمی با ترفندی جدید
نسخه جدید باجافزار Paradise که تقریباً از سال ۲۰۱۷ فعال بوده، در حالی از طریق ایمیلهای فیشینگ منتشر میشود که به دلیل بهکارگیری فایلی غیرمتداول به سیستمها و شبکهها رخنه میکند.
فایلی که باجافزار Paradise منتشر میکند، در ظاهر بیخطر است، تکنیکی که بسیاری از محصولات امنیتی بهکارگرفتهشده روی ماشینهای با سیستم عامل ویندوز آن را حتی بهعنوان بالقوه مخرب شناسایی نمیکنند. پیوست ایمیلهای فیشینگ ارسالی در حملات جدید، فایلی با پسوند IQY است. فایلهای Internet Query با پسوند IQY حاوی متنی ساده و در ظاهر فاقد هرگونه عملکرد مخرب هستند. نقش این فایل در حملات جدید Paradise دریافت فایل مخرب موردنظر مهاجمان است.
آنچه که این حملات هرزنامهای را بسیار خطرناک میکند عدم بررسی فایلهای IQY توسط بسیاری از محصولات امنیتی و سازوکارهای بررسی خودکار است. محققان Lastline که این حمله را شناسایی کردهاند میگویند مهاجمان Paradise در حال هدف قرار دادن سازمانها هستند. گردانندگان باجافزار همچنان در حال هدف قرار دادن سازمانها در سرتاسر جهان و موفقیت در اخاذی صدها هزار دلار با ارز رمزهایی همچون بیتکوین هستند.
در این ایمیلهای فیشینگ با ظاهری تجاری تلاش شده تا کاربر متقاعد به باز کردن فایل IQY پیوست شود. در صورتی که کاربر ناآگاه اقدام به اجرای پیوست کند، فایل IQY به سرور فرماندهی (C2) متصل شده و در ادامه با اجرای یک فرمان مبتنی بر PowerShell منجر به نصب باجافزار روی سیستم میشود.
بهمحض رمزگذاری شدن فایلها، با نمایش یک اطلاعیه باجگیری (Ransom Note) از کاربر خواسته میشود تا در ازای آنچه که این مهاجمان بازگرداندن دسترسیها به حالت اولیه میخوانند، مبلغ اخاذیشده را از طریق ارزرمز (Cryptocurrecny) پرداخت کند. نویسندگان بدافزار معمولاً در مراحلی از توسعه بدافزار، آن را توزیع میکنند تا نحوه شناسایی آنها توسط محصولات و راهکارهای امنیتی را ارزیابی کنند.
محققان، پیشتر موفق به ساخت ابزاری شده بودند که قربانیان Paradise را قادر به رمزگشایی رایگان فایلهای رمز شده توسط این باجافزار میکرد. اجرای این حمله جدید از عقب ننشستن مهاجمان Paradise حکایت دارد.
کارشناسان مرکز مدیریت راهبردی افتای ریاست جمهوری میگویند: یکی از اصلیترین راهکارها در برابر این تبهکاران سایبری، تهیه مستمر نسخه پشتیبان از سیستمهاست تا در صورت بروز آلودگی به باجافزار، امکان باز گرداندن فایلها به حالت اولیه فراهم باشد. همچنین برای جلوگیری از مورد بهرهجویی قرار گرفتن آسیبپذیریهای موجود در سیستمهای عامل و نرمافزارهای مورد استفاده، کاربران باید از نصب مستمر اصلاحیههای امنیتی روی دستگاهها اطمینان حاصل کنند تا از گزند این بدافزارهای مخرب در امان بمانند.
