معجون زهرآلود بدافزار TrickBot با باج‌افزار Ryuk

۲۶ دی ۱۳۹۷ | ۱۴:۴۵ کد : ۷۲۹۶ اخبار حوزه امنیت و فناوری اطلاعات
تعداد بازدید:۱۰۳۳
Ryuk یکی از مخرب‌ترین باج‌افزارهایی است که مهاجمان آن به‌طور کاملاً هدفمند قربانیان خود را انتخاب می‌کنند. انتشار گسترده در سطح شبکه و اخاذی مبالغ هنگفت در ازای آن چه که مهاجمان این باج‌افزار آن را باز گرداندن فایل‌ها به حالت اولیه می‌خوانند از دیگر ویژگی‌های اصلی Ryuk است.


تخمین زده می‌شود که این باج‌افزار تا کنون ۳.۷ میلیون دلار برای گردانندگان آن درآمد داشته است. در حالی که تا پیش از این، مهاجمان Ryuk از طریق پودمان Remote Desktop Protocol – به اختصار RDP – تلاش می‌کردند تا به سرورها و دستگاه‌های اهداف خود نفوذ کرده و آنها را به این باج‌افزار آلوده کنند، یافته‌های جدید محققان نشان می‌دهد که این مهاجمان در برخی حملات اخیر از بدافزار TrickBot در قالب خدمات موسوم به Access-as-a-Service برای رخنه به شبکه قربانیان بهره جسته‌اند.

در گزارش‌های فایرآی و کروداسترایک ، محققان این دو شرکت، روش انتشار Ryuk از طریق TrickBot را مورد بررسی قرار داده‌اند. فایرآی ترکیب Ryuk و TrickBot را TEMP.MixMaster نامگذاری کرده است. معروفیت TrickBot که به‌نظر می‌رسد مقر نویسندگان آن در اروپای شرقی است به قابلیت‌های گسترده آن در سرقت اطلاعات بانکی کاربران باز می‌گردد. با این حال، فایرآی معتقد است که نویسندگان مذکور، امکان استفاده از این بدافزار را برای تعداد محدودی از تبهکاران سایبری از جمله مهاجمان Ryuk فراهم کرده‌اند. شرکت کروداسترایک نیز اشاره کرده که از TrickBot برای انتشار بدافزار Emotet استفاده شده است.

نقش TrickBot رخنه به نخستین دستگاه سازمان با استفاده از روش‌هایی همچون ارسال هرزنامه (Spam) و سپس باز کردن راهی برای اتصال مهاجمان باج‌افزار Ryuk به آن دستگاه است. تصویر زیر نمونه‌ای از این هرزنامه‌ها را نشان می‌دهد که در صورت اجرای فایل پیوست شده به آن و فعال بودن / شدن بخش ماکرو، TrickBot بر روی دستگاه نصب می‌شود.

 



در ادامه درگاهی ارتباطی میان دستگاه قربانی و مهاجمان Ryuk برقرار می‌شود که از طریق آن می‌توان باج‌افزار را بر روی دستگاه به اجرا در آورد. به‌منظور انتشار Ryuk در سطح شبکه‌ای که دستگاه قربانی به آن متصل است نیز از بدافزار Empire بهره گرفته شده است. وظیفه Empire سرقت اطلاعات اصالت‌سنجی از روی دستگاه‌های دیگر اعلام شده است. با آلوده شدن دستگاه به Ryuk فایل‌ها رمزگذاری شده و به آنها پسوند RYK الصاق می‌شود. همچنین فایلی با نام RyukReadMe.txt در هر پوشه‌ای که حداقل یکی از فایل‌های آن رمزگذاری شده است کپی می‌گردد .اگر چه پیش‌تر برخی محققان، هکرهای کره شمالی را گردانندگان اصلی Ryuk معرفی کرده بودند در تحقیقات اخیر از جمله گزارشی که مک‌آفی آن را بتازگی منتشر کرده است روسی بودن مهاجمان این باج‌افزار محتمل‌تر دانسته شده است. باید توجه داشت که روی آوردن گردانندگان Ryuk به بدافزار TrickBot به‌معنای کنار گذاشته شدن آلوده‌سازی از طریق پودمان RDP نمی‌باشد.
مشروح گزارش مک‌آفی در لینک زیر قابل دریافت و مطالعه است:

 https://securingtomorrow.mcafee.com/other-blogs/mcafee-labs/ryuk-ransomware-attack-rush-to-attribution-misses-the-point/


باج‌افزار Ryuk با نام‌های زیر قابل شناسایی می‌باشد:


:McAfee
 Ransom-Ryuk
Ransomware-HAJ!32CBC69F85CC
RDN/Generic.grp
RDN/Ransom


بدافزار TrickBot اشاره شده در این مطلب نیز با نام‌های زیر شناسایی می‌گردد:


:McAfee
 Generic.azz

منبع خبر : شبکه گستر

 

نظر شما :

توجه! لطفا دیدگاه خود پیرامون این مطلب را در این قسمت درج نمایید و برای ارسال سایر درخواست ها و پیام ها به بخش تماس با ما مراجعه فرمایید.