تخریب داده رویکرد جدید باجافزارها کارشناسان امنیت سایبری رویکرد جدیدی در باجافزارها کشف کردهاند که مهاجم بهجای رمزگذاری دادهها، آنها را تخریب میکند. به گزارش سایبربان؛ به نظر میرسد که عوامل استفادهکننده از باجافزارها در تلاش برای فرار از شناسایی، افزایش شانس دریافت پول و به حداقل رساندن فرصتها برای توسعه ابزار رمزگشا، با قابلیت […]
تخریب داده رویکرد جدید باجافزارها کارشناسان امنیت سایبری رویکرد جدیدی در باجافزارها کشف کردهاند که مهاجم بهجای رمزگذاری دادهها، آنها را تخریب میکند. به گزارش سایبربان؛ به نظر میرسد که عوامل استفادهکننده از باجافزارها در تلاش برای فرار از شناسایی، افزایش شانس دریافت پول و به حداقل رساندن فرصتها برای توسعه ابزار رمزگشا، با قابلیت جدیدی به نام تخریب دادهها دستوپنجه نرم میکنند. گزارش جدیدی از شرکتهای سایدرس (Cyderes) و استِر وِل (Stairwell) که ازجمله شرکتهای امنیتی ایالاتمتحده هستند، تجزیهوتحلیل یک بدافزار شبیه به اکسمتر (Exmatter) را نشان میدهد. اکسمتر یک ابزار استخراج مبتنی بر داتنت است که اغلب توسط شرکتهای وابسته به باجافزار BlackCat/ALPHV استفاده میشود. با این حال، در این نسخه از ابزار، مهاجم سعی میکند فایلهای موجود در سیستم قربانی را پس از استخراج خراب کند؛ علیرغم روال معمول که آنها را رمزگذاری میکند. ابتدا، بدافزار روی درایوهای دستگاه قربانی تکرار میشود و صفی از فایلها را ایجاد میکند که با فهرست کدگذاریشدهای از پسوندهای تعیینشده مطابقت دارد. سایدرس؛ توضیح داد که فایلهای مطابق با پسوند خود، بهنوبت حذف و اضافه میشوند و سپس در پوشهای با همان نام میزبان خود که همان دستگاه قربانی است، در سرور کنترلشده توسط عاملین، نوشته میشوند. در مرحله بعدی، فایلهایی که با موفقیت در سرور با دسترسی از راه دور کپی شدهاند، در صف پردازش قرار میگیرند تا توسط ابزاری به نام ایریزر یا پاککن (Eraser) پردازش شوند. یک بخش با حجم تصادفی که از ابتدای فایل دوم شروع میشود، تحت عنوان یک بافر خوانده شده و سپس در ابتدای فایل اول نوشته میشود، آن را بازنویسی میکند و فایل را خراب میکند. استفاده از چنین تاکتیکهایی برای گروههای استفادهکننده، چند مزیت دارد: اول، استفاده از دادههای فایل قانونی برای خراب کردن فایلهای دیگر ممکن است برای ابزارهای امنیتی معقولتر به نظر برسد و بنابراین به عدم شناسایی باجافزار و پاککنها کمک میکند. دوم، اگر گروه مهاجم بتواند تمام اطلاعات قربانی را استخراج کند و سپس فایلهای موجود را خراب کند، قدرت چانهزنی بیشتری به هنگام اخاذی خواهد داشت. این بدان معناست که شرکتهای استفادهکننده از باجافزار، تنها نسخه باقیمانده را دارند و نیازی به پرداخت هیچ مبلغی به توسعهدهندگان باجافزار ندارند؛ زیرا از رمزگذاری استفاده نشده است. سوم، آنها نیازی به نگرانی در مورد آسیبپذیریهای کد خود باجافزار ندارند که در غیر این صورت ممکن است به مدافعان اجازه دهد تا ابزارهای رمزگشایی بسازند. شرکت استِروِل، مدعی است که با چنین کپی قوی از دادههای جمعآوریشده از کسبوکار قربانی، رمزگذاری فایلهای مشابه روی دیسک در مقایسه با تخریب دادهها به یک کار سنگین در زمینه توسعه آن و یک کار اضافی تبدیل میشود.
این مطلب بدون برچسب می باشد.
دیدگاه بسته شده است.