باج افزار Moneybird

گروه هکر ایرانی آگریوس که با نام طوفان شن صورتی و سابقاً Americium نیز شناخته می شود، اخیرا گونه جدیدی از باج افزار به نام Moneybird را توسعه داده است. مشاهده شده است که این بدافزار تهدید کننده به طور خاص سازمان های اسرائیلی را هدف قرار می دهد که نشان دهنده تغییر قابل توجهی در تاکتیک های آگریوس است.

مجرمان سایبری آرسنال تهدیدآمیز خود را گسترش می دهند

آگریوس سابقه انجام حملات مخرب پاک کردن اطلاعات علیه نهادهای اسرائیلی را دارد که اغلب آنها را به عنوان حوادث باج افزار پنهان می کند. ظهور Moneybird، کدگذاری شده در C++، تخصص رو به رشد و تعهد مداوم این گروه به ایجاد ابزارهای سایبری جدید را به نمایش می گذارد.

فعالیت‌های این گروه حداقل به دسامبر 2020 بازمی‌گردد، زمانی که آگریوس در اخلال در تلاش‌های نفوذی که صنایع الماس را در آفریقای جنوبی، اسرائیل و هنگ کنگ هدف قرار می‌داد، دست داشت. پیش از این، آگریوس از یک باج افزار پاک کن به نام Apostle بر اساس چارچوب دات نت و جانشین آن به نام Fantasy استفاده می کرد. با این حال، Moneybird یک پیشرفت قابل توجه برای این گروه است، زیرا قابلیت های سایبری در حال تکامل خود را از طریق زبان برنامه نویسی C++ خود به نمایش می گذارد.

بازیگران تهدید از آسیب پذیری های امنیتی برای به دست آوردن دسترسی سوء استفاده می کنند

روش حمله استفاده شده توسط باج‌افزار Moneybird سطح بالایی از پیچیدگی را نشان می‌دهد که با بهره‌برداری از آسیب‌پذیری‌های موجود در وب سرورهای اینترنتی شروع می‌شود. این بهره برداری اولیه به مهاجمان یک نقطه ورود حیاتی به شبکه سازمان هدف می دهد که با استقرار یک پوسته وب ASPXSpy تسهیل می شود.

هنگامی که پوسته وب وارد شبکه آسیب‌دیده می‌شود، به عنوان یک کانال ارتباطی برای مهاجمان عمل می‌کند تا طیف وسیعی از ابزارهای شناخته‌شده را که به‌طور خاص برای انجام شناسایی گسترده محیط قربانی طراحی شده‌اند، اجرا کنند. این ابزارها مهاجمان را قادر می‌سازد تا به صورت جانبی در داخل شبکه حرکت کنند، اعتبارنامه‌های ارزشمند را جمع‌آوری کنند و داده‌های حساس را استخراج کنند.

باج افزار Moneybird به قابلیت های رمزگذاری پیشرفته مجهز شده است

پس از مرحله نفوذ و شناسایی اولیه، باج افزار Moneybird بر روی هاست در معرض خطر فعال می شود. این باج افزار با تمرکز خاصی روی رمزگذاری فایل های حساس واقع در پوشه "F:\User Shares" طراحی شده است. پس از اجرا، باج‌افزار یک یادداشت باج را به کار می‌گیرد و فشار زیادی را بر قربانیان وارد می‌کند تا در یک بازه زمانی 24 ساعته تماس برقرار کنند و به آنها در مورد نشت عمومی داده‌های دزدیده شده هشدار می‌دهند.

باج افزار Moneybird از یک روش رمزگذاری بسیار پیچیده استفاده می کند و از AES-256 با GCM (Galois/Counter Mode) استفاده می کند. این تکنیک رمزگذاری پیشرفته، کلیدهای رمزگذاری منحصربه‌فردی را برای هر فایل ایجاد می‌کند و ابرداده‌های رمزگذاری‌شده را در پایان اضافه می‌کند. هدف‌گیری دقیق و رمزگذاری قوی که توسط Moneybird پیاده‌سازی شده است، کار بازیابی داده‌ها و رمزگشایی فایل‌ها را در اکثر موارد بسیار چالش برانگیز می‌سازد، اگر نگوییم تقریبا غیرممکن است.

اقدامات امنیتی مهم برای جلوگیری از حمله باج افزار

اقدامات امنیتی موثری را می توان برای محافظت از دستگاه ها و داده ها در برابر حملات باج افزار اجرا کرد. اولا، حفظ نرم افزار امنیتی به روز و قوی ضروری است. به روز رسانی منظم برنامه های ضد بدافزار، همراه با فعال کردن به روز رسانی خودکار، به محافظت در برابر آخرین تهدیدها کمک می کند.

پیاده سازی رمزهای عبور قوی و منحصر به فرد برای همه حساب ها یکی دیگر از مراحل مهم است. این شامل استفاده از ترکیبی از حروف، اعداد و نمادها، و همچنین اجتناب از رمزهای عبور رایج و به راحتی قابل حدس زدن است. علاوه بر این، فعال کردن احراز هویت چند عاملی با نیاز به مراحل تأیید اضافی برای دسترسی به حساب‌ها، یک لایه امنیتی اضافی اضافه می‌کند.

پشتیبان گیری منظم از داده های مربوطه برای کاهش تأثیر یک حمله باج افزار بسیار مهم است. ایجاد پشتیبان‌گیری آفلاین یا استفاده از راه‌حل‌های ذخیره‌سازی ابری تضمین می‌کند که فایل‌های مهم در صورت رمزگذاری یا مفقود شدن قابل بازیابی هستند.

احتیاط در هنگام مرور اینترنت و تعامل با ایمیل ها ضروری است. کاربران باید هنگام کلیک کردن بر روی لینک های مشکوک یا دانلود فایل ها از منابع نامعتبر شک کنند. بسیار مهم است که مراقب باشید و از بازدید از وب‌سایت‌های بالقوه مضر یا درگیر شدن با ایمیل‌های مشکوک خودداری کنید، زیرا ممکن است حاوی بارهای باج‌افزار باشند.

آموزش خود و مطلع ماندن از آخرین تهدیدات امنیت سایبری و تکنیک های حمله بسیار سودمند است. شناخت تاکتیک‌های رایج مهندسی اجتماعی مورد استفاده در حملات فیشینگ و آگاهی از نشانه‌های عفونت احتمالی باج‌افزار می‌تواند به کاربران کمک کند تا اقدامات پیشگیرانه برای جلوگیری و پاسخ به چنین حملاتی انجام دهند.

به روز رسانی منظم سیستم عامل ها، برنامه ها و سیستم عامل یکی دیگر از جنبه های حیاتی حفظ امنیت قوی است. وصله‌ها و به‌روزرسانی‌ها اغلب شامل اصلاحات امنیتی هستند که آسیب‌پذیری‌هایی را که می‌توانند توسط باج‌افزار و سایر بدافزارها مورد سوء استفاده قرار گیرند، برطرف می‌کنند.

با انجام ترکیبی از این اقدامات امنیتی، کاربران می توانند حفاظت از دستگاه ها و داده های خود را در برابر تأثیر مخرب حملات باج افزار افزایش دهند.