باج افزار Moneybird
گروه هکر ایرانی آگریوس که با نام طوفان شن صورتی و سابقاً Americium نیز شناخته می شود، اخیرا گونه جدیدی از باج افزار به نام Moneybird را توسعه داده است. مشاهده شده است که این بدافزار تهدید کننده به طور خاص سازمان های اسرائیلی را هدف قرار می دهد که نشان دهنده تغییر قابل توجهی در تاکتیک های آگریوس است.
فهرست مطالب
مجرمان سایبری آرسنال تهدیدآمیز خود را گسترش می دهند
آگریوس سابقه انجام حملات مخرب پاک کردن اطلاعات علیه نهادهای اسرائیلی را دارد که اغلب آنها را به عنوان حوادث باج افزار پنهان می کند. ظهور Moneybird، کدگذاری شده در C++، تخصص رو به رشد و تعهد مداوم این گروه به ایجاد ابزارهای سایبری جدید را به نمایش می گذارد.
فعالیتهای این گروه حداقل به دسامبر 2020 بازمیگردد، زمانی که آگریوس در اخلال در تلاشهای نفوذی که صنایع الماس را در آفریقای جنوبی، اسرائیل و هنگ کنگ هدف قرار میداد، دست داشت. پیش از این، آگریوس از یک باج افزار پاک کن به نام Apostle بر اساس چارچوب دات نت و جانشین آن به نام Fantasy استفاده می کرد. با این حال، Moneybird یک پیشرفت قابل توجه برای این گروه است، زیرا قابلیت های سایبری در حال تکامل خود را از طریق زبان برنامه نویسی C++ خود به نمایش می گذارد.
بازیگران تهدید از آسیب پذیری های امنیتی برای به دست آوردن دسترسی سوء استفاده می کنند
روش حمله استفاده شده توسط باجافزار Moneybird سطح بالایی از پیچیدگی را نشان میدهد که با بهرهبرداری از آسیبپذیریهای موجود در وب سرورهای اینترنتی شروع میشود. این بهره برداری اولیه به مهاجمان یک نقطه ورود حیاتی به شبکه سازمان هدف می دهد که با استقرار یک پوسته وب ASPXSpy تسهیل می شود.
هنگامی که پوسته وب وارد شبکه آسیبدیده میشود، به عنوان یک کانال ارتباطی برای مهاجمان عمل میکند تا طیف وسیعی از ابزارهای شناختهشده را که بهطور خاص برای انجام شناسایی گسترده محیط قربانی طراحی شدهاند، اجرا کنند. این ابزارها مهاجمان را قادر میسازد تا به صورت جانبی در داخل شبکه حرکت کنند، اعتبارنامههای ارزشمند را جمعآوری کنند و دادههای حساس را استخراج کنند.
باج افزار Moneybird به قابلیت های رمزگذاری پیشرفته مجهز شده است
پس از مرحله نفوذ و شناسایی اولیه، باج افزار Moneybird بر روی هاست در معرض خطر فعال می شود. این باج افزار با تمرکز خاصی روی رمزگذاری فایل های حساس واقع در پوشه "F:\User Shares" طراحی شده است. پس از اجرا، باجافزار یک یادداشت باج را به کار میگیرد و فشار زیادی را بر قربانیان وارد میکند تا در یک بازه زمانی 24 ساعته تماس برقرار کنند و به آنها در مورد نشت عمومی دادههای دزدیده شده هشدار میدهند.
باج افزار Moneybird از یک روش رمزگذاری بسیار پیچیده استفاده می کند و از AES-256 با GCM (Galois/Counter Mode) استفاده می کند. این تکنیک رمزگذاری پیشرفته، کلیدهای رمزگذاری منحصربهفردی را برای هر فایل ایجاد میکند و ابردادههای رمزگذاریشده را در پایان اضافه میکند. هدفگیری دقیق و رمزگذاری قوی که توسط Moneybird پیادهسازی شده است، کار بازیابی دادهها و رمزگشایی فایلها را در اکثر موارد بسیار چالش برانگیز میسازد، اگر نگوییم تقریبا غیرممکن است.
اقدامات امنیتی مهم برای جلوگیری از حمله باج افزار
اقدامات امنیتی موثری را می توان برای محافظت از دستگاه ها و داده ها در برابر حملات باج افزار اجرا کرد. اولا، حفظ نرم افزار امنیتی به روز و قوی ضروری است. به روز رسانی منظم برنامه های ضد بدافزار، همراه با فعال کردن به روز رسانی خودکار، به محافظت در برابر آخرین تهدیدها کمک می کند.
پیاده سازی رمزهای عبور قوی و منحصر به فرد برای همه حساب ها یکی دیگر از مراحل مهم است. این شامل استفاده از ترکیبی از حروف، اعداد و نمادها، و همچنین اجتناب از رمزهای عبور رایج و به راحتی قابل حدس زدن است. علاوه بر این، فعال کردن احراز هویت چند عاملی با نیاز به مراحل تأیید اضافی برای دسترسی به حسابها، یک لایه امنیتی اضافی اضافه میکند.
پشتیبان گیری منظم از داده های مربوطه برای کاهش تأثیر یک حمله باج افزار بسیار مهم است. ایجاد پشتیبانگیری آفلاین یا استفاده از راهحلهای ذخیرهسازی ابری تضمین میکند که فایلهای مهم در صورت رمزگذاری یا مفقود شدن قابل بازیابی هستند.
احتیاط در هنگام مرور اینترنت و تعامل با ایمیل ها ضروری است. کاربران باید هنگام کلیک کردن بر روی لینک های مشکوک یا دانلود فایل ها از منابع نامعتبر شک کنند. بسیار مهم است که مراقب باشید و از بازدید از وبسایتهای بالقوه مضر یا درگیر شدن با ایمیلهای مشکوک خودداری کنید، زیرا ممکن است حاوی بارهای باجافزار باشند.
آموزش خود و مطلع ماندن از آخرین تهدیدات امنیت سایبری و تکنیک های حمله بسیار سودمند است. شناخت تاکتیکهای رایج مهندسی اجتماعی مورد استفاده در حملات فیشینگ و آگاهی از نشانههای عفونت احتمالی باجافزار میتواند به کاربران کمک کند تا اقدامات پیشگیرانه برای جلوگیری و پاسخ به چنین حملاتی انجام دهند.
به روز رسانی منظم سیستم عامل ها، برنامه ها و سیستم عامل یکی دیگر از جنبه های حیاتی حفظ امنیت قوی است. وصلهها و بهروزرسانیها اغلب شامل اصلاحات امنیتی هستند که آسیبپذیریهایی را که میتوانند توسط باجافزار و سایر بدافزارها مورد سوء استفاده قرار گیرند، برطرف میکنند.
با انجام ترکیبی از این اقدامات امنیتی، کاربران می توانند حفاظت از دستگاه ها و داده های خود را در برابر تأثیر مخرب حملات باج افزار افزایش دهند.