تحلیل باجافزار هدفدارِ WastedLocker
اواخر جولای 2020، سایتهای خبرگزاری فناوری پر شد از خبرهایی در مورد شرکت Garmin. بسیاری از سرویسهای Garmin از جمله همگامسازی دستگاه با کلود و ابزارهای مخصوص خلبانان غیرفعال شد.
به گزارش روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)؛ نبودِ اطلاعات دقیق در مورد این ماجرا باعث شد تا هر کسی برای خود نظریههای دیوانهکنندهای بدهد. اما ما تصمیم گرفتیم به جای اینکه ندانسته شرایط را ارزیابی کنیم، منتظر باشیم ببینیم چه زمان اطلاعات موثقی در این باره به دستمان خواهد رسید. Garmin طی بیانیهای رسمی تأیید کرد که تحت حملهای سایبری قرار گرفته است؛ حملهای که سرویسهای آنلاین این شرکت را را مختل و برخی سیستمهای داخلیاش را نیز رمزگذاری نموده. اطلاعاتی که تاکنون در دسترس قرار گرفته است نشان میدهد مهاجمین برای اجرای این حمله از باجافزار WastedLocker استفاده کردهاند. متخصصین ما تحلیل فنی مفصلی روی این بدافزار انجام دادند که در ادامه قصد داریم یافتههای این تحلیل را در اختیارتان قرار دهیم. پس ما با همراه بمانید.
باجافزار WastedLocker
WastedLocker نمونهایست از باجافزار هدفدار: بدافزاری که مشخصاً برای حمله به شرکتی خاص طراحی میشود. پیام باج، قربانی را به اسم خطاب کرده بود و تمامی فایلهای رمزگذاریشده افزونهی garminwasted. گرفته بودند. نقشهی کریپتوگرافیک مجرمان سایبری نیز به همین نتیجهگیری اشاره دارد. فایلها با استفاده از الگوریتمهای AES و RSA رمزگذاری شده بودند؛ الگوریتمهایی که سازندگان باجافزار اغلب به طور ترکیبی از آنها استفاده میکنند. با این حال، به جای استفاده از یک رمز منحصراً تولیدشده برای هر آلودگی، رمز عمومی RSA مورد استفاده قرار گرفت. به بیانی دیگر، اگر دستکاری این باجافزار بر علیه چندین هدف مورد استفاده قرار میگرفت، برنامهی رمزگذاری داده هدفی عمومی داشت؛ زیرا باید یک کلید خصوصی هم وجود میداشت. افزون بر این، باجافزار مذکور ویژگیهای عجیب زیر را از خود نشان داده است:
• اولویتبندی رمزگذاری داده: بدینمعنا که مجرمان سایبری میتوانند دایرکتوری خاص فایلها را برای رمزگذاری در اول کار، مشخص کنند. این کار در صورتی که مکانیزمهای امنیتی، رمزگذاری داده را پیش از تکمیل شدنش متوقف کرده باشند میزان آسیب را به بالاترین حد خود خواهند رساند.
• پشتیبانی از رمزگذاری فایل روی منابع شبکه ریموت.
• بررسی امتیاز و استفاده از سرقت DLL برای افزایش امتیاز.
Garmin در چه وضعی است؟
طبق بیانیهی بهروز شدهی این شرکت، سرویسها دوباره شروع به کار کردهاند؛ هرچند همگامسازی دادهها ممکن است کُند پیش رفته و هنوز به برخی موارد جداگانه محدود شده باشند که خوب قابل درک هم هست:
دستگاههایی که چندین روز نتوانستند با سرویسهای کلود خود همگامسازی شوند اکنون همگی دارند به صورت همزمان به سرورهای شرکت وصل میشوند و این افزایش لود را در پی خواهد داشت. Garmin اینطور گزارش داده است که هنوز شواهدی دال بر دسترسی پیدا کردن غیرقانونی شخصی به دادههای کاربری در طول این رخداد وجود ندارد.
چطور در برابر چنین حملاتی مصون بمانیم؟
حملات هدفدار باجافزار روی شرکتها آمدهاند تا بمانند. با این تفاسیر توصیه ما به شما این است که:
• همیشه نرمافزارهای خود را به روز نگه دارید خصوصاً سیستمعامل را؛ بیشتر تروجانها آسیبپذیریهای شناختهشده را اکسپلویت میکنند.
• برای ردّ دسترسی عمومی به سیستمهای شرکت از RDP (یا در صورت لزوم از ویپیان) استفاده کنید.
• به کارمندان خود اصول اولیه امنیت سایبری را آموزش دهید. اغلب اوقات، مهندسی اجتماعی روی کارمندان است که به تروجانهای باجافزار اجازه میدهد شبکههای سازمانی را آلوده کنند.
• از راهکارهای امنیتی جدید و مجهز به فناوریهای پیشرفتهی ضد باجافزار استفاده کنید. محصولات ما WastedLocker را شناسایی کرده و جلوی آلودگی را میگیرند.