آخرین اخبار
facebook Telegram RSS ارسال به دوستان نسخه چاپی
کد خبر : 212656
تاریخ انتشار : 9 تیر 1396 23:16
تعداد بازدید : 1204

نفوذ دومین بدافزار خطرناک ماه از سوراخ ویندوز

باج افزاری که از اوکراین آمد

هنوز حمله سهمگین باج افزار واناکرای از خاطره ها محو نشده که باج افزار دیگری با استفاده از حفره امنیتی مشابه در حال گسترش در شبکه کامپیوتری شرکت های بین المللی است.


TheVerge-دور روز پیش، باج افزاری به نام پتیا (Petya) کشور اوکراین را دچار اختلالات گسترده کرد. شرکت امنیتی کسپرسکی می گوید که تقریبا 60 درصد تمام سیستم های کامپیوتری آلوده به این باج افزار، در اوکراین واقع شده اند که نسبت به دیگر مناطق بسیار بیشتر است، اما این باج افزار با سرعت زیادی در حال انتشار در دیگر کشورهاست.
این حمله گسترده بسیاری از زیرساخت های اساسی و مهم کشور اوکراین نظیر بانک های مرکزی، فرودگاه ها، سیستم مترو و حتی نیروگاه اتمی چرنوبیل را درگیر خود ساخت.
چند ساعت پس از دومین حمله گسترده سایبری ظرف دو ماه گذشته، شرکت های بین المللی در نقاط مختلف جهان تلاش می کنند که پیامدهای آن را مهار کنند. «مولر-مرسک» غول کشتیرانی دانمارک، «روس نفت» غول نفتی روسیه، کمپانی داروسازی «مِرک» آمریکا، شرکت راه آهن دولتی فرانسه (SNCF) و کمپانی بین المللی تولید مواد غذایی Mondelez آمریکا از جمله قربانیان پتیا هستند.
مولر-مرسک روز چهارشنبه اعلام کرد که در حال تلاش برای رفع مشکل است و بخشی از سامانه ها خاموش شده اند تا کار بهتر پیش برود. مقامات این شرکت کشتیرانی می گویند که شناورها مشکلی برای حرکت و برقراری ارتباط ندارند و خدمه سلامت هستند؛ در عین حال به ترمینال های شبکه کامپیوتری APM در برخی بنادر آسیب وارد شده است. این شبکه های کامپیوتری یکی از بزرگ ترین اپراتورهای بندر و پایانه های کانتینری در جهان و مقر اصلی آن در لاهه هلند است.
شرکت های اوکراینی هم خسارت سنگینی متحمل شده اند. با از کار افتادن بخشی از کامپیوترها در ویرانه های نیروگاه اتمی چرنوبیل تکنیسین ها مجبور شده اند میزان تشعشعات رادیواکتیو را به صورت دستی اندازه گیری کنند. گفته می شود سیستم های فنی اصلی اما آسیبی ندیده اند.
 باز هم حفره ویندوز
این بار هم یک باج افزار علیه سیستم عامل ویندوز وارد عمل شده است. شرکت امنیت کامپیوتری سیمانتک و اداره فدرال امنیت آی تی آلمان می گویند باج افزار جدید هم از جمله از حفره امنیتی ویندوزهای قدیمی استفاده می کند؛ از همان حفره ای که باج افزار واناکرای به شبکه های کامپیوتری نفوذ می کرد. با این تفاوت که بدافزار جدید نسبت به واناکرای با سرعت کمتری منتشر می شود و بیشتر به شبکه شرکت های بزرگ بین المللی علاقه نشان می دهد.
باج افزار کنونی که خبر شیوع آن روز سه شنبه (۲۷ ژوئن) منتشر شد، از یک حفره امنیتی دیگر هم استفاده می کند. کارشناسان امنیتی گمان می کنند که طراحان این بدافزار بیشتر از کسب درآمد به دنبال ایجاد هرج ومرج بوده اند. گذشته از این، کارشناسان می گویند سیستم باج گیری بدافزار کنونی هم چندان حرفه ای نیست.
شرکت امنیت کامپیوتری کاسپرسکی روسیه روز سه شنبه اعلام کرد که 2 هزار مورد از این حمله موفقیت آمیز بوده است. بر این اساس، بیشتر قربانیان در روسیه و اوکراین بوده اند؛ همچنین در آلمان، لهستان، ایتالیا، بریتانیا، فرانسه و آمریکا.
خبر حمله سایبری با باج افزار واناکرای برای نخستین بار ۱۲ ماه مه منتشر شد. این باج افزار در مدت زمانی حدود ۲۴ ساعت صدها هزار کامپیوتر مبتنی بر ویندوز را در بیش از ۱۵۰ کشور جهان آلوده کرد. شرکت راه آهن سراسری آلمان و سیستم بهداشت و درمان بریتانیا از جمله قربانیان وانا کرای بودند؛ البته کامپیوترهای شخصی هم در امان نماندند. واناکرای کامپیوتر را قفل می کرد و از کاربر می خواست ظرف مدت سه روز معادل ۳۰۰ دلار بیت کوین (پول مجازی) بپردازد تا بار دیگر کنترل رایانه خود را به دست آورد. اگر کاربر در این مهلت مبلغ یادشده را واریز نمی کرد، میزان باج دو برابر می شد و اگر تا ۱۹ مه پولی پرداخت نمی شد، داده ها نابود می شدند.
باج افزار کنونی هم پس از قفل کردن داده های قربانی، ۳۰۰ دلار طلب می کند. همه قربانیان مبلغ خواسته شده را به یک حساب مجازی واریز می کنند. قربانیان باید از طریق یک آدرس ایمیل با مهاجمان ارتباط برقرار کنند. شرکت Posteo که میزبان این آدرس ایمیل است اما آن را از دسترس خارج کرده است. با این حساب واریز مبالغ کمکی به آزادشدن کامپیوترهای آلوده نمی کند. تا صبح چهارشنبه ۳۵ قربانی پول به حساب یادشده واریز کرده بودند.
 باز هم رد پای آژانس امنیت ملی آمریکا
کارشناسان امنیتی می گویند باج افزار جدید هم مانند وانا کرای از یکی از حفره های امنیتی استفاده می کند که آژانس امنیت ملی آمریکا (NSA) از آن برای جاسوسی استفاده می کرده و آن را به مایکروسافت خبر نداده بوده است. چندی پیش گروهی از هکرها که خود را «Shadow Brokers» خواندند، به بخشی از داده های آژانس امنیت ملی آمریکا دست یافتند و قسمتی از آن را در اینترنت منتشر کردند. هکرها هم بخشی از کدهای جاسوسی منتسب به آژانس امنیت ملی به نام «Eternal Blue» را برداشتند و با استفاده از آن واناکرای را خلق کردند. در کد باج افزار کنونی هم رد پای اترنت بلو دیده می شود.
کارشناسان امنیت شبکه درباره ماهیت باج افزار جدید هم نظر نیستند. گروهی آن را نسخه ای از باج افزار پتیا می دانند که از یک سال پیش شناخته شده است. کاسپرسکی اما می گوید باج افزار کنونی ارتباطی با پتیا ندارد؛ بلکه بدافزار جدیدی است که خود را پتیا معرفی می کند.
کارشناسان امنیتی می گویند باج افزار جدید قدرت نفوذ به نسخه های جدید ویندوز را هم دارد. واناکرای تنها می توانست تا نسخه های قدیمی تر ویندوز ۷ نفوذ کند.
مایکروسافت ماه هاست یک بسته به روزرسانی رایگان برای بستن حفره امنیتی یادشده منتشر کرده است. بسیاری از کاربران اما، به ویژه شرکت های عریض و طویل بین المللی، هنوز سیستم عامل سامانه های خود را به روز نکرده اند.
 کرملین متهم اصلی 
اکراینی ها می گویند کرملین پشت حمله سایبری با باج افزار پتیا است که 60 کشور از جمله خود روسیه را درگیر کرده است.
نویسنده این باج افزار در پستی در توییتر پیشنهاد کرد تا به قربانیان کمک کند تا فایل هایی که به وسیله باج افزار پتیا قفل شده، را باز کند. جانوس این پیشنهاد را مطرح کرده است تا خود را از بدافزارجدید موسوم به NotPetya رهایی بخشد. این نام را کسپرسکی روی بدافزار جدیدی که پس از پتیا در اینترنت منتشر شده، گذاشته است. نات پتیا خسارت دائم و همیشگی به فایل های رایانه قربانی زده و مانند پتیا اجازه بازگرداندن فایل به حالت عادی را نمی دهد.
در همین حال دولت اکراین کرملین را عامل اصلی حمله سایبری به خود می داند در حالی که سخنگوی کرملین آن را ادعایی بی اساس و کذب خوانده است. حمله سایبری 2014 به نیروگاه های برق اکراین کار روس ها بود، هرچند آن زمان نیز کرملین آن را ادعای واهی نامید.
روس ها نیز ادعا کردند که تحت تاثیر حمله جدیدی سایبری قرار گرفته اند اما کارشناسان مستقل امنیتی می گویند هدف اصلی از حمله سایبری هفته گذشته نصب یک بدافزار ضد حکومتی و سازمانی در اکراین بوده است که حالا 60 کشور را دربرگرفته است. به گفته این کارشناسان هدف گرفتن باج 300 دلاری از هر قربانی نبوده است چراکه اصولا این نقل و انتقال بیت کوینی چنان پایین بوده است که نمی توان درباره آن صحبت کرد، بلکه هدف اصلی توزیع بدافزاری زیر لایه باج افزار پتیا بوده و در آینده شاهد حملات گسترده تری علیه سیستم های آسیب پذیر خواهیم بود.
کمپانی معروف ضد ویروس ESET در اسلواکی در گزارشی نوشت 75 درصد قربانیان پتیا اکراینی بوده و 10 کشور اول آلوده شده به باج افزار پتیا نیز در شرق و جنوب اروپا واقع شده اند.
Arne Schoenbohm مدیر کمپانی امنیتی BSI در آلمان می گوید شواهد تشخیصی نشان می دهد که اکراین قربانی اصلی بوده و روس ها به تعداد انگشتان دست نیز قربانی نداشته اند، درضمن اولین قربانیان نیز اکراینی بوده اند.
پلیس سایبری اکراین می گوید 1500درخواست کمک را به ثبت رسانده است. ISSP مستقر در کی یف نیز می گوید ریشه های مشترکی میان حمله جدید سایبری و حملات قبلی پیدا کرده است و حتی شبکه های آفلاینی که دومین آنها آلوده شده نیز در معرض خطر بدافزارپنهان در پَسِ باج افزار پتیا قرار گرفته اند.


نظر شما



نمایش غیر عمومی
تصویر امنیتی :