LockBit؛ باجافزاری با عملکرد انتشار خودکار در سطح شبکه
LockBitکه ظهور آن به سپتامبر ۲۰۱۹ باز میگردد در قالب یک سرویس جدید موسوم به “باجافزار بهعنوان سرویس” Ransomware-as-a-Service)- به اختصار RaaS ) به سایر تبهکاران سایبری اجاره داده میشود.درRaaS، صاحب باجافزار، فایل مخرب را بهعنوان یک خدمت به متقاضی اجاره میدهد.
متقاضی که ممکن است در برنامهنویسی تخصصی نداشته باشد تنها وظیفه انتشار باجافزار را بر عهده دارد. در نهایت بخشی از مبلغ اخاذی شده از قربانی به متقاضی و بخشی دیگر به نویسنده میرسد.
بر اساس گزارشی که شرکت امنیتی مکآفی آن را منتشر کرده در یکی از نمونههای جدید، مهاجمان توانستهاند که در مدت ۳ ساعت تقریباً ۲۵ سرور و ۲۲۵ ایستگاه کاری یک سازمان را به باجافزارLockBitآلوده کنند. این مهاجمان برای رخنه به شبکه قربانی اقدام به اجرای حملات موسوم به سعی و خطا (Brute-force) بر ضد یک سرویس از رده خارج VPN کرده بودند
بر خلاف اکثر حملات سایبری که در آنها هکرها پس از نفوذ به شبکه در پی کشف اطلاعات اصالتسنجی حداقل یک کاربر با سطح دسترسی Administrator میروند، در این حمله به دلیل دستیابی به اطلاعات مذکور در نتیجه اجرای حمله اولیه سعی و خطا، بهمحض ورود مهاجمان به شبکه، LockBitآماده توزیع انبوه بوده است.
تحلیلهای مکآفی نشان میدهد که باجافزارLockBitدارای قابلیتی است که امکان انتشار خودکار خود بر روی سایر سیستمهای شبکه را فراهم میکند.
LockBit زمانی که اجرا میشود علاوه بر رمزگذاری فایلهای دستگاه، از طریق درخواستهایARP اقدام به شناسایی سایر دستگاههای شبکه کرده و در ادامه تلاش میکند تا در بستر پودمان SMB به آنها متصل شود.
با اتصال به کامپیوتر مقصد، یک فرمان PowerShell اجرا شده و باجافزار بر روی آن دستگاه نیز توسط یک اجراکننده مبتنی بر NET. فعال میشود.
در این صورت هر چه کامپیوترهای بیشتری در سطح شبکه آلوده میشوند فرایند توزیع باجافزار بر روی سایر سیستمهای شبکه تسریع میشود.
بکارگیری روشهای پیشگیرانه در مقابله با باجافزارها و مقاوم سازی پودمان RDP برای ایمن ماندن از گزند باجافزارها توصیه میشود.
نظر شما :