بدافزاری که قبلاً دیده نشده بود، داده ها را در دادگاه ها و دفاتر شهرداران روسیه مورد حمله اتمی قرار می دهد

به گفته شرکت امنیتی کسپرسکی و سرویس خبری ایزوستیا، دفاتر و دادگاه‌های شهرداران در روسیه مورد حمله بدافزارهایی قرار گرفته‌اند که قبلاً دیده نشده‌اند که به عنوان باج‌افزار ظاهر می‌شوند، اما در واقع پاک‌کننده‌ای هستند که داده‌های یک سیستم آلوده را برای همیشه از بین می‌برند.

محققان کسپرسکی برف پاک کن را CryWiper نامگذاری کرده اند، یک اشاره به پسوند .cry که به فایل های از بین رفته اضافه می شود. کسپرسکی می‌گوید تیمش مشاهده کرده است که این بدافزار «حملات دقیق» را به اهدافی در روسیه انجام داده است. در همین حال، ایزوستیا گزارش داد که اهداف، دفاتر و دادگاه های شهردار روسیه هستند. جزئیات بیشتر، از جمله تعداد سازمان‌هایی که آسیب دیده‌اند و اینکه آیا بدافزار با موفقیت داده‌ها را پاک کرده است یا خیر، بلافاصله مشخص نشد.

بدافزار پاک کن در دهه گذشته به طور فزاینده ای رایج شده است. در سال 2012، یک برف پاک کن معروف به Shamoon، شرکت های آرامکو عربستان سعودی و راس گاز قطر را ویران کرد. چهار سال بعد، نوع جدیدی از Shamoon بازگشت و چندین سازمان را در عربستان سعودی مورد حمله قرار داد. در سال 2017، بدافزار خودتکثیر شونده با نام NotPetya در عرض چند ساعت در سراسر جهان پخش شد و حدود 10 میلیارد دلار خسارت به بار آورد. در سال گذشته، انبوهی از برف پاک کن های جدید ظاهر شد. آنها عبارتند از DoubleZero، IsaacWiper، HermeticWiper، CaddyWiper، WhisperGate، AcidRain، Industroyer2 و RuRansom.

کسپرسکی گفت که تلاش های حمله توسط CryWiper را در چند ماه گذشته کشف کرده است. به گزارش ایزوستیا، پس از آلوده کردن یک هدف، این بدافزار یادداشتی به جای 0.5 بیت کوین و شامل آدرس کیف پولی که می توان پرداخت را در آن انجام داد، به جا گذاشت.

در گزارش کسپرسکی آمده است: «پس از بررسی نمونه‌ای از بدافزار، متوجه شدیم که این تروجان، اگرچه به عنوان یک باج‌افزار ظاهر می‌شود و برای «رمزگشایی» داده‌ها از قربانی اخاذی می‌کند، اما در واقع رمزگذاری نمی‌کند، بلکه به طور هدفمند داده‌های سیستم آسیب‌دیده را از بین می‌برد. اظهار داشت. علاوه بر این، تجزیه و تحلیل کد برنامه تروجان نشان داد که این اشتباه یک توسعه دهنده نیست، بلکه قصد اصلی او بوده است.

CryWiper شباهت هایی به IsaacWiper دارد که سازمان ها را در اوکراین هدف قرار می داد. هر دو برف پاک کن از الگوریتم یکسانی برای تولید اعداد شبه تصادفی استفاده می کنند که با بازنویسی داده های داخل آنها، فایل های هدف را خراب می کنند. نام الگوریتم Mersenne Vortex PRNG است. این الگوریتم به ندرت مورد استفاده قرار می گیرد، بنابراین مشترکات باقی مانده است.

CryWiper اشتراک جداگانه ای با خانواده های باج افزار معروف به Trojan-Ransom.Win32.Xorist و Trojan-Ransom.MSIL.Agent دارد. به طور خاص، آدرس ایمیل در باج هر سه یکسان است.

نمونه CryWiper تجزیه و تحلیل کسپرسکی یک فایل اجرایی 64 بیتی برای ویندوز است. به زبان C++ نوشته شد و با استفاده از ابزار MinGW-w64 و کامپایلر GCC کامپایل شد. این یک انتخاب غیرعادی است زیرا بدافزارهای نوشته شده در C++ از ویژوال استودیو مایکروسافت استفاده می کنند. یکی از دلایل احتمالی این انتخاب این است که به توسعه دهندگان این امکان را می دهد که کد خود را به لینوکس منتقل کنند. با توجه به تعداد تماس های خاص CryWiper با رابط های برنامه نویسی ویندوز، این دلیل بعید به نظر می رسد. دلیل محتمل‌تر این است که توسعه‌دهنده‌ای که کد را می‌نویسد از یک دستگاه غیرویندوزی استفاده کرده است.

حملات برف پاک کن موفق اغلب از امنیت ضعیف شبکه بهره می برند. کسپرسکی به مهندسان شبکه توصیه کرد تا با استفاده از موارد زیر اقدامات احتیاطی را انجام دهند:

• راه حل های امنیتی تجزیه و تحلیل فایل های رفتاری برای محافظت از نقطه پایانی.
• تشخیص و پاسخ و مرکز عملیات امنیتی مدیریت شده که امکان تشخیص به موقع نفوذ و انجام اقدامات برای پاسخگویی را فراهم می کند.
• تجزیه و تحلیل پویا پیوست های ایمیل و مسدود کردن فایل های مخرب و URL ها. این باعث می شود حملات ایمیل، یکی از رایج ترین بردارها، دشوارتر شود.
• انجام تست نفوذ منظم و پروژه های RedTeam. این به شناسایی آسیب‌پذیری‌ها در زیرساخت‌های سازمان، محافظت از آنها و در نتیجه کاهش چشمگیر سطح حمله برای متجاوزان کمک می‌کند.
• نظارت بر داده های تهدید برای شناسایی و جلوگیری از فعالیت های مخرب به موقع، داشتن اطلاعات به روز در مورد تاکتیک ها، ابزارها و زیرساخت های متجاوزان ضروری است.

با توجه به تهاجم روسیه به اوکراین و سایر درگیری های ژئوپلیتیکی که در سراسر جهان موج می زند، احتمالاً سرعت بدافزار پاک کن در ماه های آینده کاهش نخواهد یافت.

در گزارش روز جمعه کسپرسکی آمده است: «در بسیاری از موارد، حوادث پاک‌کن و باج‌افزار ناشی از امنیت ناکافی شبکه است و این تقویت حفاظت است که باید به آن توجه شود». ما فرض می‌کنیم که تعداد حملات سایبری، از جمله حملاتی که از برف پاک کن‌ها استفاده می‌کنند، بیشتر خواهد شد، که عمدتاً به دلیل وضعیت ناپایدار در جهان است.»