باج‌افزار NEPHILIM با توجه به یافته ها و بررسی های محققین حوزه بدافزار اواخر March سال 2020 میلادی انتشار یافته است. هدف اولیه این باج افزار کاربران انگلیسی زبان بوده اما این توانایی را دارد که فایل هایی با عناوین فارسی را نیز بصورت رمزگذاری شده دربیارند. این باج افزار با استفاده از الگوریتم های رمزنگاری پیچیده تمامی فایل های سیستم را به حالت رمزشده تبدیل کرده و پسوند .NEPHILIM را به انتهای آن ها اضافه می کند.

در چندین سال اخیر که شیوع #‫بدافزارها در دنیای دیجیتال رشد زیادی داشته است باج افزارها رشد زیادی داشته اند و روزانه انواع مختلفی از آن ایجاد و انتشار می یابد. یکی از این باج افزارها RXX از خانواده Crysis می باشد که با رمزگذاری داده ها به منظور دریافت وجه برای ارائه ابزار رمزگشایی عمل می کند. این باج افزار با توجه به یافته ها و بررسی های محققین حوزه بدافزار اوایل March سال 2017 میلادی ایجاد شده، ولی اولین مشاهدات آن در سال 2020 می باشد.

بدافزار ouruv7 با اندازه 988 کیلوبایت در تاریخ 13 Jan سال 2020 ایجاد شده است. این #‫بدافزار فایل­های کاربر را در ساختاری به صورت زیر رمز می­کند. Filename.extension.Email=[Honeylock@protonmail.com]ID=[ id].odveta این بدافزار در اجراهای مختلف id های مختلفی برای قربانی تولید می­کند. #‫باج_افزار ouruv7 در هر پوشه­ ای که فایل­های آن را رمز کرد، فایل متنی با نام Unlock-Files.txt ایجاد می­کند. جهت مطالعه تحلیل این بدافزار اینجا کلیک نمایید.

بدافزار LockBit با اندازه 102 کیلوبایت در تاریخ 23 Jan سال 2020 ایجاد شده است. این بدافزار فایل های کاربر را در ساختاری به صورت Filename.extension.lockbit رمز می کند. بررسی ها نشان می دهد که از تعداد 73 موتور آنتی ویروس موجود در سامانه ویروس توتال 57 مورد فایل lockbit را بعنوان بدافزار شناسایی کرده اند و در این شناسایی نیز برخی از موتورها بدافزار را از خانواده تروجان Ransomware دانسته اند. تحلیل کامل این بدافزار در اینجا قابل مطالعه است.

با توجه به رشد چشمگیر در حوزه ی بدافزار در دنیای امروزی متعاقبا باج افزار نیز رشد قابل توجهی داشته است. یکی از این باج افزارها ِDOP می باشد که یک نسخه دیگر از خانواده و Dharma/Crysis و شبیه به گزارش قبلی (تحلیل باج افزار RXX) می باشد و برای اولین بار توسط یک محقق مشهور امنیتی به نام dnwls0719 کشف شد. این باج افزار مانند سایر نسخه های دیگر، از قربانی می خواهد مبلغ مشخصی را به عنوان باج در ازای رمزگشایی بپردازد. این باج افزار با توجه به یافته ها و بررسی های محققین حوزه بدافزار اوایل March سال 2017 میلادی ایجاد شده، ولی اولین مشاهدات آن در سال 2020 می باشد.

براساس یافته­ های محققان حوزه #‫بدافزار، باج‌افزار جدیدی با نام MarraCrypt از خانواده #‫باج_افزار Hermes در February سال 2020 انتشار یافته است که با استفاده از الگوریتم RSA-4096 تمام فایل­های موجود در سیستم را رمزگذاری کرده و پسوند [newpatek@cock.li].MARRA را به انتهای هرکدام از آن­ها اضافه می­کند و یک فایل راهنما بصورت MARRACRYPT_INFORMATION.HTMLرا در داخل هر پوشه ایجاد می­کند.

موج تازه‌ای از فیشینگ، بکدور جدیدی ساخته شده توسط توسعه‌دهندگان بدافزار TrickBot را پخش می‌کند؛ این بکدور برای نفوذ و دسترسی کامل به شبکه‌ی سازمان قربانی استفاده می‌شود.
در حملات پیشین مربوط به شبکه مثل بدافزارهایی که یک سازمان خاص را هدف قرار می‌دهند و یا حملاتexfiltration ، تحت کنترل گرفتن شبکه‌ی سازمان به صورت پنهانی یک گام ضروری بود؛ اما در حملات فیشینگ مشاهده شده در چند وقت اخیر یک بدافزار جدید به نام «BazarBackdoor» نصب شده و برای مهاجمان به عنوان ابزاری برای تحت کنترل گرفتن شبکه عمل می‌کند.

در چندین سال اخیر که شیوع بدافزارها در دنیای دیجیتال رشد زیادی داشته است باج ­افزارها رشد زیادی داشته ­اند و روزانه انواع مختلفی از آن ایجاد و انتشار می­ یابد. یکی از این باج ­افزارها RXX از خانواده Crysis می­باشد که با رمزگذاری داده ­ها به منظور دریافت وجه برای ارائه ابزار رمزگشایی عمل می­کند. این باج ­افزار ­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­با توجه به یافته ­ها و بررسی­ های محققین حوزه بدافزار اوایل March سال 2017 میلادی ایجاد شده، ولی اولین مشاهدات آن در سال 2020 می­باشد.

در اواخر ماه فوریه سال 2020 میلادی، اخباری مبنی بر فعالیت باج‌افزاری به‌ نام Nefilim درفضای سایبری منتشر شد. طبق شواهد موجود، کد این باج‌افزار با باج‌افزار Nemty شباهت بسیار زیادی دارد. این باج‌افزار پس از اتمام فرآیند رمزگذاری، در صورت نپرداختن مبلغ باج، قربانی را تهدید به انتشار فایل‌های رمزگذاری شده می‌کند. باج‌افزار Nefilim از الگوریتم رمزنگاری AES-128 برای رمز‌گذاری فایل‌ها استفاده کرده ‌است.

دانلود پیوست

در طی مسابقات Pwn2Own توکیو در پاییز گذشته، اشخاصی به نام Pedro Ribeiro و Radek Domanski از آسیب‌پذیری تزریق فرمان به عنوان بخشی از زنجیره بهره‌برداری برای اجرای کد بر روی روتر بی سیم TP-Link Archer A7 استفاده کردند که 5000 دلار برای آن‌ها درآمد داشت. باگ به کار رفته در این بهره‌برداری اخیراً وصله شده است. در این گزارش به بررسی آسیب‌پذیری تزریق فرمان که در نوامبر 2019 منتشر شد می‌پردازیم.