RedStar Ransomware

تهدیدات بدافزار همچنان در حال پیشرفت و پیچیده‌تر شدن هستند و این امر، محافظت از دستگاه‌ها و داده‌های کاربران و سازمان‌ها را به طور فزاینده‌ای مهم می‌کند. حملات باج‌افزاری به طور خاص می‌توانند با رمزگذاری فایل‌های ارزشمند و درخواست پرداخت وجه برای آزادسازی آنها، سیستم‌های شخصی و شبکه‌های شرکتی را فلج کنند. یکی از تهدیدات اخیر مشاهده شده، که با نام باج‌افزار RedStar شناخته می‌شود، نشان می‌دهد که چگونه مهاجمان مدرن تاکتیک‌های ساده آلودگی را با قابلیت‌های رمزگذاری مخرب ترکیب می‌کنند تا قربانیان را برای پرداخت باج تحت فشار قرار دهند. درک نحوه عملکرد و نحوه گسترش چنین تهدیداتی برای تقویت دفاع در برابر آنها ضروری است.

ظهور باج‌افزار RedStar

محققان امنیتی در جریان بررسی نمونه‌های مشکوک بدافزارهای منتشر شده در فضای آنلاین، باج‌افزار RedStar را شناسایی کردند. این باج‌افزار پس از اجرا بر روی یک دستگاه آلوده، شروع به رمزگذاری فایل‌های ذخیره شده در سیستم می‌کند. در طول این فرآیند، هر فایل آسیب‌دیده با پسوند '.RedStar' تغییر نام می‌دهد. به عنوان مثال، فایلی که در ابتدا '1.png' نام داشت، به '1.png.RedStar' تبدیل می‌شود، در حالی که '2.pdf' به '2.pdf.RedStar' تبدیل می‌شود. این تغییر نام نشان می‌دهد که فایل‌ها توسط روال رمزگذاری پردازش شده‌اند و دیگر به شکل اصلی خود قابل دسترسی نیستند.

پس از مرحله رمزگذاری، بدافزار یک یادداشت باج‌خواهی با نام 'READ_ME.txt' روی سیستم آلوده قرار می‌دهد. این پیام به قربانیان اطلاع می‌دهد که فایل‌های آنها قفل شده است و بدون ابزار رمزگشایی ویژه‌ای که توسط مهاجمان کنترل می‌شود، قابل باز شدن نیست. همانطور که در کمپین‌های باج‌افزاری رایج است، مهاجمان تلاش می‌کنند قربانیان را برای تماس با آنها جهت مذاکره در مورد پرداخت تحت فشار قرار دهند.

درخواست باج و ارتباط مهاجم

یادداشت باج‌خواهی مرتبط با RedStar حاوی دستورالعمل‌هایی برای قربانیان جهت بازیابی اطلاعاتشان است. در این یادداشت ادعا شده است که تنها راه دسترسی مجدد به فایل‌های رمزگذاری شده، دریافت کلید رمزگشایی از مهاجمان است. از قربانیان خواسته می‌شود که مبلغ را به صورت بیت‌کوین پرداخت کنند، اگرچه این پیام به طنز می‌گوید که «مقداری قهوه خوب» نیز می‌تواند کافی باشد. با وجود لحن شوخی‌آمیز، این تهدید همچنان جدی است زیرا فایل‌های رمزگذاری شده معمولاً بدون کلید رمزگشایی صحیح قابل بازیابی نیستند.

مهاجمان یک آدرس ایمیل تماس به آدرس 'redstarme@proton.me' ارائه می‌دهند و قربانیان را تشویق می‌کنند که پس از پرداخت، با آنها تماس بگیرند. با این حال، متخصصان امنیت سایبری اکیداً از پرداخت درخواست باج خودداری می‌کنند. هیچ تضمینی وجود ندارد که مهاجمان کلید رمزگشایی کارآمدی را ارائه دهند و پرداخت فقط فعالیت‌های مجرمان سایبری بیشتر را تشویق می‌کند.

در بسیاری از موارد، امن‌ترین روش بازیابی، بازیابی فایل‌ها از پشتیبان‌های سالم است، با فرض اینکه چنین پشتیبان‌هایی وجود دارند و در طول حمله به خطر نیفتاده‌اند.

نحوه‌ی انتشار RedStar و باج‌افزارهای مشابه

باج‌افزار به ندرت به صورت تصادفی پخش می‌شود؛ در عوض، مهاجمان به تکنیک‌های آلوده‌سازی متعددی متکی هستند که برای فریب کاربران یا سوءاستفاده از نقاط ضعف سیستم‌ها طراحی شده‌اند. RedStar می‌تواند از طریق چندین کانال رایج مورد استفاده مجرمان سایبری به دستگاه‌ها نفوذ کند:

• ایمیل‌های فریبنده حاوی پیوست‌ها یا لینک‌های مخرب
• سوءاستفاده از آسیب‌پذیری‌های نرم‌افزارهای قدیمی
• کرک‌های جعلی نرم‌افزار، تولیدکننده‌های کلید یا برنامه‌های دزدی
• تبلیغات مخرب و کلاهبرداری‌های پشتیبانی فنی جعلی
• درایوهای USB آلوده یا وب‌سایت‌های آلوده
• شبکه‌های اشتراک‌گذاری فایل نظیر به نظیر و دانلودکننده‌های شخص ثالث

بدافزارها اغلب در فایل‌هایی که بی‌خطر به نظر می‌رسند، پنهان می‌شوند. فایل‌های اجرایی، بایگانی‌های فشرده، اسکریپت‌ها و اسنادی مانند فایل‌های آفیس یا PDF معمولاً به عنوان حامل استفاده می‌شوند. پس از باز شدن یا اجرا، باج‌افزار بی‌سروصدا فعال شده و روال رمزگذاری خود را آغاز می‌کند.

چرا حذف فوری حیاتی است؟

وقتی باج‌افزار روی سیستم فعال می‌ماند، ممکن است آسیب با دور اول رمزگذاری فایل‌ها متوقف نشود. در برخی موارد، بدافزار می‌تواند به رمزگذاری فایل‌های تازه ایجاد شده ادامه دهد، سعی در پخش شدن در شبکه داشته باشد یا اجزای مخرب دیگری را دانلود کند.

به دلیل این خطر، سیستم‌های آلوده باید در اسرع وقت از شبکه‌ها جدا شوند. حذف باج‌افزار از فعالیت‌های رمزگذاری بیشتر جلوگیری می‌کند و احتمال انتشار آلودگی به سایر دستگاه‌ها در همان محیط را کاهش می‌دهد. حتی اگر فایل‌ها بلافاصله قابل بازیابی نباشند، متوقف کردن بدافزار، مقیاس حادثه را محدود می‌کند.

اقدامات امنیتی ضروری برای دفاع قوی‌تر

جلوگیری از آلودگی به باج‌افزار نیازمند عادات امنیتی سایبری مداوم و دفاع لایه‌ای است. کاربران و سازمان‌ها می‌توانند با اجرای شیوه‌های امنیتی زیر، خطر آلودگی را به میزان قابل توجهی کاهش دهند:

• مرتباً از فایل‌هایتان به‌صورت آفلاین یا ابری پشتیبان‌گیری کنید تا بتوانید بدون پرداخت پول به مهاجمان، آن‌ها را بازیابی کنید.
• سیستم‌عامل‌ها، مرورگرها و برنامه‌ها را به‌طور کامل به‌روز نگه دارید تا آسیب‌پذیری‌های شناخته‌شده را از بین ببرید.
• از نرم‌افزارهای امنیتی معتبر با محافظت بلادرنگ استفاده کنید و امضاهای آن را به‌روز نگه دارید.
• از دانلود نرم‌افزارهای کرک‌شده، نصب‌کننده‌های غیررسمی یا فایل‌ها از منابع نامعتبر خودداری کنید.

• قبل از باز کردن پیوست‌ها یا کلیک روی لینک‌ها، ایمیل‌ها را با دقت بررسی کنید

• غیرفعال کردن ماکروها در اسناد آفیس مگر در موارد ضروری

• استفاده از رسانه‌های قابل حمل را محدود کنید و قبل از دسترسی به محتویات دستگاه‌های USB، آنها را اسکن کنید.

• آموزش کاربران در مورد حملات فیشینگ و تاکتیک‌های مهندسی اجتماعی

فراتر از این اقدامات فنی، آگاهی از امنیت سایبری نقش مهمی در دفاع ایفا می‌کند. بسیاری از حملات باج‌افزاری به این دلیل موفق می‌شوند که کاربران ناآگاهانه فایل‌های مخرب را اجرا می‌کنند یا به پیام‌های جعلی اعتماد می‌کنند. ایجاد عادات دیجیتالی محتاطانه به از بین بردن بسیاری از فرصت‌هایی که مهاجمان به آنها تکیه می‌کنند، کمک می‌کند.

نکات پایانی

باج‌افزار RedStar نشان می‌دهد که چگونه حتی بدافزارهای نسبتاً ساده نیز می‌توانند پس از نفوذ به یک سیستم، اختلالات شدیدی ایجاد کنند. مهاجمان با رمزگذاری فایل‌ها و درخواست پرداخت وجه برای بازیابی آنها، سعی در سوءاستفاده از فوریت و وحشت دارند. با این حال، درک نحوه عملکرد چنین تهدیدهایی و اجرای شیوه‌های امنیتی قوی می‌تواند احتمال قربانی شدن در برابر آنها را به میزان قابل توجهی کاهش دهد.

به‌روزرسانی‌های مداوم سیستم، رفتار محتاطانه آنلاین و پشتیبان‌گیری‌های قابل اعتماد، همچنان از مؤثرترین دفاع‌ها در برابر باج‌افزار هستند. وقتی این اقدامات حفاظتی انجام شوند، حتی یک نفوذ موفق نیز بسیار کمتر آسیب‌زا می‌شود و تضمین می‌کند که داده‌های حیاتی بدون تسلیم شدن در برابر خواسته‌های مجرمان سایبری، قابل بازیابی باقی می‌مانند.