Sprite Spider به عنوان یکی از مخرب ترین بازیگران تهدید باج افزار در حال ظهور است
گروه Sprite Spider که چندین سال زیر رادار پرواز کرده است ، از یک مجموعه کد باج افزار استفاده می کند که بسیار موثر و یافتن آن دشوار است
در اجلاس اخیر SANS Cyber ​​Threat Intelligence ، دو سرپرست امنیت سایبری CrowdStrike ، محقق ارشد امنیت سرگئی فرانکف و تحلیلگر ارشد اطلاعات اریک لوئی ، جزئیاتی را در مورد یک بازیگر برجسته باج افزار بزرگ که آنها Sprite Spider می نامند ارائه دادند. مانند بسیاری دیگر از مهاجمان باج افزار ، باند پشت حملات Sprite Spider از سال 2015 به سرعت در ظرافت و ظهور رشد کرده است. (تحقیقات CrowdStrike در گزارشی طولانی از واحد 42 شبکه پالو آلتو در نوامبر سال 2020 )

امروز Sprite Spider آماده تبدیل شدن به یکی از بزرگترین بازیگران تهدید باج افزار در سال 2021 است . ظهور Sprite Spider به عنوان یک تهدید پیچیده تعجب آور نیست با توجه به اینکه مانند بسیاری دیگر از باندهای باج افزار سازمان یافته مملو از هکرهایی است که اغلب به طور سودمندی توسط عوامل تهدید دولت-ملت استخدام می شوند.

باور کنید که شما می توانید جلوی حمله های باج افزار ها بگیرید

تکامل عنکبوت Sprite

Sprite Spider با استفاده از یک Trojan بانکی به نام Shifu در سال 2015 شروع به کار کرد و یک لودر بدافزار به نام Vatet در حدود سال 2017 اضافه کرد. در سال 2018 ، این باند یک Trojan دسترسی از راه دور به نام PyXie را مستقر کرد. در سال 2019 ، این گروه تا جایی پیشرفت کرد که باج افزارهایی به نام DEFRAY777 مستقر کرد.
در این مرحله ، محققان CrowdStrike Shifu ، Vatet و PyXie را به حملات باج افزار DEFRAY777 گره زدند. آنها فهمیدند که تمام فعالیتهای حاصل از این مولفه ها به یک بازیگر تهدید وابسته است که در زیر رادار پرواز می کرده است.
نحوه کار باج افزار Sprite Spider

این باند غالباً می تواند در درجه اول از شناسایی فرار کند زیرا کد آن خوش خیم به نظر می رسد و در پروژه های منبع باز مانند Notepad ++ پنهان می شود. تنها چیزی که Sprite Spider روی دیسک می نویسد Vatet است ، و پیگیری آنها را در هنگام پاسخ به حادثه برای تحلیلگران را دشوارتر می کند.

با وجود مخفی کاری و اجزای متعدد ، عنکبوت Sprite برخی از ویژگی های دنیوی را به نمایش می گذارد. DEFRAY777 یک باج افزار پیچیده نیست ، اما کار را تمام می کند. Sprite Spider منتظر بود تا اواخر نوامبر سال 2020 سایت خود را برای برقراری ارتباط با قربانیان راه اندازی کند ، ماه ها پس از اینکه سایر بازیگران باج افزار شروع به راه اندازی این سایت ها کردند.

حمله های باج افزار جهانی در سال 2020 و 4 تا از خطرناکترین آنها

تهدید واقعی Sprite Spider در ژوئیه 2020 هنگامی که شروع به هدف قرار دادن میزبانهای ESXi کرد ، افزایش یافت ، که معمولاً توسط سازمانهای بزرگی که از فن آوری hypervisor توسط VMware برای مدیریت چندین ماشین مجازی استفاده می کنند ، رخ داد . DEFRAY777 مستقر در میزبانهای ESXi از اعتبار سرقت شده برای اعتبار سنجی در vCenter استفاده می کند ، که رابط وب برای مدیریت چندین دستگاه ESXi و وب سایت های میزبانی شده در آن دستگاه ها است.

پس از آن ، مهاجمان وارد سیستم می شوند ، SSH را فعال می کنند ، کلیدهای SSH یا رمزهای عبور root را تغییر می دهند ، فرایندهای در حال اجرا را متوقف کرده  و کارهای دیگری را که منجر به اجرای باینری در پوشه TMP می شود ، راه اندازی می کنند و همه ماشین های مجازی و میزبان آنها را رمزگذاری می کنند. اندکی پس از اینکه Sprite Spider شروع به هدف قرار دادن میزبانهای ESXi کرد ، گروه تهدید دیگری به نام Carbon Spider نیز به طور مستقل شروع به هدف قرار دادن ماشین های ESXi کرد.

با هدف قرار دادن ماشین های EXSi ، Sprite Spider مجبور نیست باج افزار را در کل محیط سازمانی مستقر کند – آنها باید فقط چند سرور را برای رمزگذاری گسترده زیرساخت های مجازی فناوری اطلاعات هدف قرار دهند.

عفونت های مخرب اولیه پیش درآمد حملات باج افزار است

بدافزاری که در ابتدا به عنوان تروجان بانکی مورد استفاده قرار می گرفت به ابزارهای دسترسی اولیه تبدیل شده است. ویزارد اسپایدر از TrickBot به عنوان ابزار دسترسی اولیه خود برای استقرار باج افزارهای Ryuk و Conti استفاده می کند. Indrik Spider از Dridex برای BitPaymer یا WastedLocker استفاده می کند و Carbon Spider از Sekur / Anunak برای REvil یا Darkside استفاده می کند. ” “من می خواهم برای کسانی که به طور مستقیم با CISO یا C-suite ارتباط برقرار می کنند ، تأکید کنم ، عفونت های به اصطلاح ابزارهای کالا یا Trojans یا بارگیری کنندگان می توانند منجر به حملات بزرگ باج افزار شوند. اگر مشکل Emotet دارید ، احتمالاً مشکل Trickbot خواهید داشت. اگر مشکل Trickbot دارید ، باید یک مشکل Ryuk یا Conti داشته باشید. “

زمان پس از شناسایی ابزارهای اساسی مهم است. لوئی گفت: “اگر شما نتوانید ظرف یک ساعت تشخیص ، پاسخ دهید و آن را اصلاح کنید ، به هیچ وجه نمی توانید این مشکل را جبران کنید.” “بنابراین ، شما باید آن عفونت های جدی را درمان کنید حتی اگر به اصطلاح ابزار کالایی باشند.”

هشدار FBI در خصوص شیوع باج افزار Egregor

سه تهدید برتر سایبری که در سال 2021 باید انتظار آن را داشته باشیم .

لینک مطلب

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

*

code