باج‌افزار NeZha

باج‌افزار همچنان یکی از مخرب‌ترین تهدیدات پیش روی افراد و سازمان‌ها است. یک نفوذ موفق می‌تواند عملیات را متوقف کند، داده‌های حساس را خراب یا از سیستم خارج کند و تلاش‌های بازیابی پرهزینه‌ای را به دنبال داشته باشد. ایجاد دفاع‌های قوی و چندلایه قبل از وقوع حادثه، تنها راه قابل اعتماد برای به حداقل رساندن تأثیر است، زمانی که مهاجمان شانس خود را امتحان می‌کنند.

مرور کلی تهدید

محققان یک گونه پیچیده به نام باج‌افزار NeZha را شناسایی کرده‌اند. مانند سایر خانواده‌های این دسته، هدف اصلی NeZha ساده است: رمزگذاری هرچه بیشتر فایل‌ها و سپس اجبار به پرداخت هزینه برای کلید رمزگشایی. اپراتورهای آن خود را به عنوان تنها راه بازیابی معرفی می‌کنند و با محدودیت‌های زمانی و تهدید به نشت داده‌ها، فشار را افزایش می‌دهند.

رفتار سیستمی و تغییرات فایل‌ها

به محض اینکه NeZha جای پایی پیدا می‌کند، شروع به رمزگذاری داده‌های کاربر و کسب‌وکار در مکان‌های مشترک می‌کند. در حین رمزگذاری، نام موارد را نیز با افزودن شناسه خاص قربانی و پسوند «.NeZha» تغییر می‌دهد. در موارد مشاهده‌شده، نام فایل‌ها شناسه‌ای شبیه به GUID به دست می‌آورد؛ برای مثال، مشاهده شده است که یک فایل بی‌خطر مانند «1.png» به نامی شبیه به «1.png.{A15EF2AD-5BC3-D5DC-D6C1-539CA114597E}.NeZha» تبدیل می‌شود. پس از تکمیل مراحل، NeZha یک یادداشت باج‌خواهی با عنوان «README.TXT» در دایرکتوری‌های آسیب‌دیده قرار می‌دهد.

یادداشت باج و تاکتیک‌های فشار

در این یادداشت ادعا شده است که پایگاه‌های داده، اسناد، عکس‌ها و سایر فایل‌ها رمزگذاری شده‌اند و خرید کلید رمزگشایی از مهاجمان تنها راه حل است. برای ایجاد اعتبار، مجرمان اغلب پیشنهاد رمزگشایی رایگان یک فایل غیر حیاتی را می‌دهند. آنها نسبت به تغییر فایل‌های قفل شده، استفاده از رمزگشاهای شخص ثالث یا درخواست کمک از خارج از شرکت هشدار می‌دهند و ادعا می‌کنند که این کار باعث افزایش ضرر و زیان می‌شود. یک مهلت ۲۴ ساعته برای تماس اولیه تعیین شده است. در صورت از دست دادن این مهلت، اپراتورها تهدید می‌کنند که داده‌های حساس شرکت را که ادعا می‌کنند از سیستم خارج شده‌اند، فاش یا می‌فروشند، که نمونه‌ای از «اخاذی مضاعف» است.

واقعیت بازیابی و معضل پرداخت

از نظر فنی، اکثر باج‌افزارهای مدرن بدون کلیدهای خصوصی مهاجمان قابل رمزگشایی نیستند، مگر اینکه بدافزار نقص جدی داشته باشد، که سناریویی غیرمعمول است. با این حال، پرداخت باج خطرناک و دلسردکننده است: بسیاری از قربانیان حتی پس از انتقال وجه، هرگز رمزگشاهای کارآمد دریافت نمی‌کنند و پرداخت، فعالیت مجرمانه را تقویت می‌کند. مسیر امن‌تر، تکیه بر پشتیبان‌های پاک و آفلاین و پاسخ رسمی به حوادث است.

مهار و حذف

حذف NeZha رمزگذاری بیشتر را متوقف می‌کند اما فایل‌های آسیب‌دیده قبلی را رمزگشایی نمی‌کند. اولویت‌ها باید ایزوله کردن سیستم‌های آلوده از شبکه، حفظ شواهد برای جرم‌شناسی، ریشه‌کن کردن بدافزار با استفاده از ابزارهای معتبر یا یک بازسازی کامل و سپس بازیابی از پشتیبان‌های شناخته‌شده و معتبر باشد. اگر به نشت داده‌ها مشکوک هستید، طرح واکنش به نقض امنیتی خود را فعال کنید و تعهدات قانونی، نظارتی و اطلاع‌رسانی به مشتری را در نظر بگیرید.

نحوه‌ی شیوع NeZha معمولاً

NeZha از شیوه‌ی کار بسیاری از کمپین‌های باج‌افزاری پیروی می‌کند و از روش‌های انتقال مبتنی بر کاربر و مبتنی بر مهاجم بهره می‌برد. مهاجمان ممکن است بارهای داده را به عنوان محتوای قانونی پنهان کنند یا آنها را در بسته‌های نرم‌افزاری قاچاق کنند، سپس هنگام باز شدن یک فایل یا اجرای یک اسکریپت، اجرا را آغاز کنند. برخی از انواع باج‌افزار همچنین می‌توانند به صورت جانبی در شبکه‌های محلی پخش شوند یا خود را روی رسانه‌های قابل حمل کپی کنند.

بردارهای رایج انتقال

• فیشینگ و مهندسی اجتماعی که منجر به باز کردن پیوست‌های مخرب (Office/OneNote/PDF)، اسکریپت‌ها (JavaScript)، بایگانی‌ها (ZIP/RAR) یا فایل‌های اجرایی (.exe/.run) می‌شود.
• نصب‌کننده‌ها، لودرها و درهای پشتی آلوده به تروجان که به عنوان مرحله دوم، باج‌افزار را جذب می‌کنند.
• دانلودهای ناخواسته و فریبنده از سایت‌های آلوده یا مخرب.
• منابع دانلود نامعتبر (پورتال‌های نرم‌افزار رایگان، آینه‌های شخص ثالث، شبکه‌های P2P).
• کمپین‌های اسپم، کلاهبرداری‌های آنلاین و تبلیغات مخربی که به سمت فایل‌های مخرب هدایت می‌شوند.
• ابزارهای فعال‌سازی غیرقانونی (کرک‌ها)، نرم‌افزارها/رسانه‌های کپی‌رایت و اعلان‌های به‌روزرسانی جعلی.
• خود-گسترش از طریق شبکه‌های محلی و حافظه‌های قابل جابجایی (درایوهای USB، هارد دیسک‌های خارجی).

افکار پایانی

NeZha با قالب باج‌افزارهای مدرن مطابقت دارد: رمزگذاری سریع، اجبار قوی و تهدیدهای معتبر افشای داده‌ها. بهترین اهرم شما قبل از وقوع حادثه، از طریق بهداشت دقیق، کنترل‌های لایه‌ای، پشتیبان‌گیری‌های آزمایش‌شده و واکنش تمرین‌شده، به دست می‌آید. حفاظت‌های فنی را با آموزش کاربر و عملیات منظم ترکیب کنید تا احتمال و شعاع انفجار حمله NeZha را کاهش دهید.