اخبار
در اواخر ماه جولای 2019 میلادی، Lukas Stefanko پژوهشگر امنیتی شرکت ESET خبر از کشف باجافزار اندرویدی جدیدی داد که از طریق پیامک، لینکی حاوی فایل اصلی باجافزار را به تمام مخاطبین قربانی ارسال مینمود. این باجافزار بسیار خطرناک که توسط شرکت ESETبا کد رمز Android/Filecoder.C (FileCoder) نامگذاری گردیده است، قادر است اطلاعات کاربران دارای تلفن همراه با سیستمعامل اندروید 5.1 به بالا را رمزگذاری نماید.
دانلود پیوست
براساس بررسی های انجام شده در فضای بدافزارهای ایرانی، دسته ای از بدافزارها با صدها نمونه ی مختلف کشف شد که همگی آنها مربوط به توسعه دهنده ای به نام “RTR” است. بدافزارهای RTR با رفتارهای مخرب و عناوین متنوعی در حال انتشار و فعالیت هستند. برخی از این بدافزارها در فروشگاه های اندرویدی منتشر شده اند و برخی دیگر از طریق تبلیغات تلگرامی و دانلود خودکار توسط دیگر برنامه ها روی دستگاه قربانیان قرار گرفته اند. به طورکلی بدافزارهای RTR را می توان در5 شاخه مختلف دسته بندی کرد:
1 بدافزارهای مخفی شونده که از نامهای مستهجن برای جذب مخاطب استفاده میکنند.
2 نسخههای جعلی و غیررسمی تلگرام که از آنها برای فروش عضو، ارسال تبلیغات در گروهها و ... استفاده میکنند.
3 برنامههای کاربردی که اغلب با استفاده از سرویسهای ارسال هشدار، عملیات مخرب مختلفی روی دستگاه قربانی انجام میدهند.
4 بدافزارهای ارزشافزوده، که برای چندین شرکت مختلف ارزشافزوده، بدافزارهای واسطی را منتشر کرده و از این طریق به عضوگیری برای این سرویسها پرداختهاند.
5 برنامههایی همنام با برنامههای محبوب و معروف خارجی مانند برخی پیامرسانها.
به دلیل گستردگی بدافزارهایRTR، سعی شده است هر دسته در گزارشی مجزا تحلیل و بررسی گردد.
برای مطالعه کامل کلیک نمایید
رصد فضای سایبری در حوزه #باج_افزار، از ظهور باجافزار Jemd خبر می دهد. فعالیت این باجافزار نخستین بار در تاریخ 16 دسامبر 2018 میلادی گزارش شده است. این باجافزار، از الگوریتم AES برای رمزگذاری فایلهای سیستم قربانی استفاده میکند. نکته جالب در مورد باجافزار Jemd این است که هیچ تغییری در نام فایلها ایجاد نکرده و پسوندی به آنها اضافه نمیکند. همچنین تا زمانی که فایل باجافزار در سیستم قربانی فعال باشد، نمیتوان هیچ عملی(تغییرنام،کپی و...) بر روی فایلهای رمزگذاری شده انجام داد.
مشاهده و رصد فضای سایبری در زمینه #باج_افزار، از ظهور فعالیت سایبری جدید مهاجمین فارسی زبان در شبکههای اجتماعی در زمینه توسعه و انتشار باجافزار خبر میدهد. طبق آخرین مشاهدات صورت گرفته، این فعالیت در قالب RaaS (باجافزار به عنوان یک سرویس) در گروهها و کانالهای تلگرامی در حال شکلگیری و رشد بوده است. با توجه اینکه امروزه کدمنبع اغلب باجافزارها در فضای سایبری (از جمله وب تاریک) موجود بوده و قابل سفارشیسازی است، معمولاً مهاجمین با دانش متوسط از طریق کلاهبرداری و اخذ مبالغ هنگفت از کاربران ناآگاه و همچنین با تکیه بر روشهای مهندسی اجتماعی، برای نیل به اهداف خرابکارانه خود از آنها بهره میبرند. یکی از فعالیتهای اخیر این افراد در شبکههای اجتماعی فارسیزبان، تحت عنوان پروژه BlackRouter Dark Ransomware شناخته شده است. فعالیت این پروژه در زمان نگارش این گزارش متوقف گردیده است. لازم به توضیح است که در این گزارش، از ذکر مشخصات و اسامی افراد و گروهها، خودداری گردیده است.
برای دریافت متن کامل کلیک نمایید
در چند ماه گذشته اطلاعات چندین #آسیبپذیری روزصفر در سیستمعامل ویندوز توسط تحلیلگری امنیتی با نام کاربری SandboxEscaper منتشر شده است. یکی از این آسیبپذیریها که poc آن در github و exploitdb با نام Deletebug1 در اختیار عموم قرار گرفته از نوع ارتقای سطح دسترسی به واسطه سرویس #Microsoft_Data_Sharing در سیستم عامل ویندوز است.
این آسیبپذیری قابلیت ارتقا سطح دسترسی را برای کاربران عضو گروههای مهمان و Users فراهم میسازد و میتواند تمام نسخههای ویندوز 10 و ویندوز سرور 2016 و 2019 را تحت شعاع خود قرار دهد. تاکنون مایکروسافت هیچگونه وصله امنیتی خاصی در رابطه با این آسیبپذیری محلی ارائه نداده است.
در گزارش پیوست به بررسی جزییات این آسیبپذیری و اکسپلویت مربوطه می پردازیم.
مشاهده و رصد فضای سایبری در زمینه #باج_افزار، از شروع فعالیت نمونه جدیدی به نام Ghost خبر میدهد. بررسی ها نشان می دهد که فعالیت این باج افزار در اواسط ماه نوامبر سال 2018 میلادی شروع شده است و به نظر می رسد تمرکز آن بیشتر بر روی کاربران انگلیسی زبان می باشد. طبق بررسیهای صورت گرفته بر روی فایل باجافزار Ghost، به نظر میرسد فایلهای مختلفی در آن تعبیه شده است که پس از اجرای باجافزار، این فایلها در یک پوشه به نام Ghost، واقع در دایرکتوری Roaming ایجاد میشوند و سپس فرایند مربوط به فایل اصلی خاتمه پیدا میکند و یک سرویس جدید تحت عنوان GhostService جهت ادامهی فعالیت باجافزار، ایجاد میشود.
مشاهده و رصد فضای سایبری در زمینه #باج_افزار، از شروع فعالیت نمونه جدیدی از خانوادهی InsaneCrypt به نام Mega Cryptorr خبر میدهد که پس از رمزگذاری فایلها، به انتهای آنها پسوند .bip را اضافه میکند. بررسی ها نشان می دهد که فعالیت این باج افزار در تاریخ 29 نوامبر سال 2018 میلادی شروع شده و به نظر می رسد تمرکز آن بیشتر بر روی کاربران انگلیسی زبان می باشد.
رصد فضای سایبری در حوزه #باج_افزار، از ظهور باجافزار Outsider خبر می دهد. فعالیت این باجافزار نخستین بار در تاریخ 8 دسامبر 2018 میلادی گزارش شده است. براساس نتایج بدست آمده از تحلیلها، سیستمهایی که زبان صفحه کلید روسی، بلاروسی یا تاتاری فعال دارند، از رمزگذاری توسط این باجافزار در امان هستند
رصد فضای سایبری در حوزه #باج_افزار، از ظهور باجافزار Delphimorix خبر می دهد. بر اساس گزارش وبسایت Id-ransomware.blogspot.ru این باجافزار با استفاده از کد باجافزار InducVirus توسعه یافته است و نخستین بار در تاریخ 21نوامبر 2018 میلادی مشاهده شده است. به فاصله دو روز بعد از این تاریخ، دوبار به روز رسانی شده است و تحلیل پیش رو مربوط به بهروزرسانی در تاریخ 23نوامبر میباشد.
مشاهده و رصد فضای سایبری در زمینه #باج_افزار، از شروع فعالیت نمونه جدیدی به نام win_defender_patch خبر میدهد. بررسی ها نشان می دهد فعالیت این باج افزار در نیمهی دوم ماه دسامبر سال 2018 میلادی شروع شده است. این باجافزار از الگوریتم رمزنگاری DES برای رمزگذاری فایلها استفاده میکند و تنها فایلهای موجود در دایرکتوریهایی خاص را که در ادامه به آنها اشاره خواهیم نمود، رمزگذاری میکند.
