گروه جرایم اینترنتی Lazarus از روش های سنتی APT برای انتشار باج افزار VHD استفاده می کند.

 

باج افزار VHD

گروه Lazarus همیشه به دلیل استفاده از روشهای معمول حملات APT اما متخصص در جرایم اینترنتی مالی ، برجسته بوده است. اخیراً ، متخصصان شرکت کسپراسکای بدافزار VHD تازه کشف نشده و قبلاً کشف نشده ای را کشف کرده اند که به نظر می رسد Lazarus در حال آزمایش آن است.

از نظر عملکردی ، VHD یک ابزار باج افزار نسبتاً استاندارد است. از طریق درایوهای متصل به رایانه قربانی ، پرونده ها را رمزگذاری کرده و همه پوشه های System Volume Information را پاک می کند (بدین ترتیب امکان بازیابی سیستم در ویندوز غیر ممکن می شود). علاوه بر این ، می تواند فرایندهایی را که به طور بالقوه می توانند از پرونده های مهم در برابر اصلاح محافظت کنند (مانند Microsoft Exchange یا SQL Server) را به حالت تعلیق درآورد.

اما آنچه واقعاً جالب است نحوه ورود VHD به رایانه های مورد نظر است ، زیرا مکانیسم های انتقال آن اشتراکات بیشتری با حملات APT دارند. کارشناسان اخیراً چند مورد VHD را مورد بررسی قرار دادند و اقدامات مهاجمان را در هر یک مورد تجزیه و تحلیل کردند.

انتشار افقی از طریق شبکه قربانی:

در حادثه اول ، توجه متخصصان به کد مخربی که مسئول پخش VHD روی شبکه هدف است جلب شد. مشخص شد که این باج افزار در لیست خود آدرس های IP رایانه های قربانی و همچنین اطلاعات کاربری حساب های دارای حقوق ادمین را در اختیار دارد. از این داده ها برای حملات بی رحمانه به سرویس SMB استفاده می کرد. اگر بدافزار موفق شد با استفاده از پروتکل SMB به پوشه شبکه رایانه دیگری متصل شود ، خود را کپی و اجرا کرده و آن دستگاه را نیز رمزگذاری می کند.

چنین رفتاری برای باج افزارهای انبوه چندان معمول نیست. این حداقل یک شناسایی اولیه از زیرساخت های قربانی را نشان می دهد ، که بیشتر مشخصه کمپین های APT است.

زنجیره گسترش:

زمانیکه تیم واکنش شرکت کسپراسکای در آزمایشگاه خود طی تحقیقات با این باج افزار روبرو شد ، محققان توانستند کل زنجیره انتشار را ردیابی کنند. همانطور که آنها گزارش دادند ، مجرمان اینترنتی:
1- با بهره برداری از دروازه آسیب پذیر VPN به سیستم قربانیان دسترسی پیدا کرد.
2- حقوق سرپرست دستگاههای در معرض خطر را بدست آورد .
3- یک در پشتی نصب شد. BACKDOOR
4-کنترل سرور Active Directory به دست گرفته شد .
با استفاده از لودر مخصوص این کار ، همه رایانه های موجود در شبکه را با باج افزار VHD آلوده کرد.
شما می توانید تجزیه و تحلیل دقیق فنی این ابزارها ، همراه با شاخص ها را در مقاله مربوطه در وبلاگ به آدرس پیدا کنید.


بازیگران باج افزار VHD مشخصاً در مورد آلوده کردن رایانه های سازمانی توسط یک رمزگذار ، کاهش بیش از حد متوسط دارند. بدافزار به طور کلی در انجمن های هکر در دسترس نیست. بلکه به طور خاص برای حملات هدفمند ساخته شده است. تکنیک های مورد استفاده برای نفوذ به زیرساخت قربانی و انتشار در شبکه حملات پیچیده APT را به یاد می آورند.

چگونه در برابر حملات باج افزار VHD از شرکت خود محافظت کنید:
این محو شدن تدریجی مرزها بین ابزارهای جرایم سایبری مالی و حملات APT اثبات آن است که حتی شرکت های کوچکتر نیز باید به فکر استفاده از فناوری های امنیتی پیشرفته باشند. با این اوصاف ، ما اخیراً شرکت کسپراسکای از یک راه حل یکپارچه با قابلیت های Endpoint Protection Platform (EPP) و Endpoint Detection and Response (EDR) رونمایی کرده است . می توانید اطلاعات بیشتری در مورد راه حل در صفحه اختصاصی آن بیابید.

 

لینک منبع

حمله های باج افزار جهانی در سال 2020 و 4 تا از خطرناکترین آنها

ده تا از جدیدترین و خطرناکترین ویروس و تهدیدات مخرب در سال 2020

هشدار خیلی مهم :رمزنگاری فایلهای رمزنگاری شده شگرد جدید باج افزارها: تروجان Zorab

 

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

*

code