در اوسط ماه می سال 2019 میلادی، اخباری مبنی بر انتشار باجافزاری با عنوان Buran منتشر شد. این باجافزار نسخه توسعه یافته باجافزار Jamper میباشد. براساس گزارش وبسایت id-ransomware نسخه اولیه این باجافزاراز طریق انجمنهایی با آدرسهای ifud.ws، verified.sc، exploitinqx4sjro.onion، forum.zloy.bz، darkmarket.la به صورت سرویس(RaaS) به فروش میرسد. پس از نسخه اول، نسخه دوم و نسخه ای با عنوان Ghost از این باجافزار در ماه ژوئن منتشر شد و از اواسط ماه نوامبر، اخباری مربوط به نسخه جدید این باجافزار در فضای سایبری منتشر شد که تحلیل پیش رو، مربوط به آخرین نسخه از این باجافزار یعنی Buran 3.0 میباشد.
طبق گزارش اخیر "Demand Quality Report for Q3 2019"، شرکتهای امنیت و بررسی کلاهبرداری در تبلیغات، تأثیرات120 میلیارد آگهی را بین 1 ژانویه و 20 سپتامبر مورد بررسی قرار دادهاند که از طریق سیستمها، از فعالیتهای تبلیغاتی مخرب مختلف استفاده شده است.
همچنین در این گزارش در مورد تبلیغات با کیفیت پایین و تبلیغات بنری که در اسلاتهای ویدیویی ظاهر می شود، بحث شده است و بر روی تبلیغات مخرب شناسایی شده و کمپینهایی که از آنها استفاده میکنند تمرکز شده است.
یک تبلیغ مخرب توسط Confiantاینگونه تعریف میشود که رفتارهای ناخواستهای مانند هدایت اجباری برای مسیر موردنظر کلاهبرداری، cryptojackingو یا آلوده کردن سیستم بازدیدکنندهها توسط تبلیغات را، شامل میشود. گاهی یک تغییر مسیر اجباری ایجاد شده یا یک فایل مخرب برای اهداف خاص بارگذاری میشود. همچنین گمراه کردن کاربران از طریق فیشینگ نیز مدنظر است، البته اجبار برای دریافت فایلهایی که میتواند شامل باجافزارها نیز باشد یا اجرای بدافزارهایی برای الحاق سیستم قربانی به باتنتها نیز در این موارد اتفاق افتاده است.
از کار انداختن تبلیغات مخرب
بر اساس گزارش "Demand Quality Report for Q3 2019"، Confiant120 میلیارد اثر تبلیغات در برنامهها را که توسط سیستم رسیدگی تبلیغاتی آنها رصد شده بود، تجزیه و تحلیل کرده است.
خبر خوب این است که به دلیل راهحلهایی مانند فیلتر بعضی از تبلیغات مخرب در مرورگر کاربر، این تعداد در حال کاهش است، همچنین صاحبان سایتها درصدد هستند تا تصمیماتی را اتخاذ کنند تا جلوی تبلیغات غیرمجاز در سایتهای خود را بگیرند و کنترلهای حساستر و محکمتری در بین (SSP)Supply Side Platforms داشته باشند.
دانلود پیوست
اخیراً #باجافزار ی به نام Clop CryptoMix به صورت گسترده منتشر شده است که بهمنظور رمزنگاری موفقیتآمیز دادههای یک قربانی، سعی در غیرفعال کردن windows defender و همچنین حذف windows security essentials و برنامههای مستقل ضد باج افزار(امنیتی) Malwarebytes را دارد.
Clop نوعی از باجافزار CryptoMix است که از پسوند Clop استفاده میکند و یادداشتهای باجخواهی خود را در قالب یک فایل ClopReadMe.txt با پیام " Don’t Worry C|oP" امضا میکند. به همین دلیل این باجافزار به Clop Ransomware معروف شده است.
تلاش برای غیرفعال کردن Windows Defender
طبق تجزیه و تحلیل انجام شده توسط محقق امنیتی و مهندس معکوس ویتالی کرمز (Vitali Kremez) برنامه کوچکی توسط عاملان Clop قبل از رمزنگاری درحال اجرا است که سعی در غیرفعال کردن انواع نرمافزارهای امنیتی از جمله windows defender را خواهد داشت.
این کار برای جلوگیری از شناسایی الگوریتمهای رفتاری برای رمزنگاری پرونده و مسدود کردن باج افزار انجام میشود.
برای غیرفعال سازی windows defender، این باجافزار مقادیر مختلف registry شامل:
Behavior monitoring
Real time protection
Sample uploading to Microsoft
Tamper protection
Cloud detections
Antispyware detections
برای دریافت متن کامل کلیک نمایید
مشاهدات اخیر حاکی از آن است که #باجافزار Sodinokibiکاربران استفاده کننده از مرورگر اینترنت اکسپلورر را در منطقه آسیا مورد هدف قرار داده است. باجافزار Sodinikibiکه به اسامی دیگری از جمله Sodinو Revilنیز شناخته میشود، برای اولین بار در ماه آوریل 2019 میلادی مشاهده گردید. این باجافزار در حال حاضر فاقد رمزگشا میباشد.
طبق گزارشات رسیده، قربانیان این باجافزار پس از بازدید از وبسایتهای آلوده، به سمت آیپیهای حاوی اکسپلویتکیت RIGهدایت شده و از طریق آسیبپذیریهای موجود در نرمافزار فلش پلیر، مورد حمله باجافزار قرار میگیرند. در صورت موفقیتآمیز بودن حمله، اسکریپتی حاوی دستورات مخرب در پس زمینه سیستم اجرا شده و قربانی با پیغامهای مکرری مبنی بر توقف مرورگر اینترنت اکسپلورر مواجه میگردد که در نهایت منجر به بارگزاری و اجرای باجافزار Sodinokibiبر روی سیستم هدف میگردد.
لذا به کاربران توصیه اکید میگردد که از نصب آخرین بهروزرسانیهای امنیتی ویندوز و نرمافزارهای نصب شده بر روی آن اطمینان حاصل نموده و همچنین نسبت به بهروزرسانی اپلیکیشنهای وابسته به اینترنت اکسپلورر نیز اقدام نمایند.
به تازگی محققان شرکت Symantec برنامهی مخربی را کشف کردهاند که بر روی گوشی تلفن همراه تبلیغات ناخواسته نمایش میدهد، خود را از دید کاربران پنهان میکند و نیز میتواند برنامههای مخرب بیشتری را دانلود کند. این اپلیکیشن که #Xhelper نام دارد پس از حذف، مجدداً خود را نصب می کند و به گونهای طراحی شده است که با ظاهر نشدن در منوی برنامههای گوشی، پنهان میماند. این برنامه در شش ماه گذشته بیش از 45000 دستگاه را آلوده کرده است.
در آوریل 2019، #بدافزار جدیدی کشف شد که ارتباطات وب رمزگذاری شده را به روشی چشمگیر به خطر میاندازد. تجزیه و تحلیل این بدافزار این اجازه را داد تا تأیید کنند که اپراتورها یک سری کنترل خاص روی کانال شبکهی هدف دارند و میتوانند نصب کنندههای قانونی را با موارد آلوده در حال اجرا جایگزین کنند.
اواسط اکتبر سال 2019 میلادی اخباری مبنی بر مشاهده #باجافزار ی با عنوانmedusalocker منتشر شد. با توجه به اینکه مدت زمان زیادی از مشاهده این باجافزار نمیگذرد، تاکنون گزارشی از میزان آلودگی توسط این باجافزار در سراسر جهان و همچنین روش نفوذ و انتشار آن، منتشر نشده است. این باجافزار که از الگوریتم 256AESبیتی جهت رمزگذاری فایلهای موردنظر خود در سیستم قربانی بهره میبرد، پسوند encrypted.را به انتهای هر فایل رمزشده اضافه مینماید
طبق تحقیقاتی که تیم تحقیقاتی شرکت امنیتی Fortinet در طی دو ماه گذشته در آزمایشگاه #Forti_Guard انجام داده اند یک #باج_افزار در Golang کشف شده است. در این آزمایشگاه با انجام مهندسی معکوس روی بدافزار موجود در Golang توانستند این باج افزار را کشف کنند. Golang که با نام Go نیز شناخته شده است یک زبان برنامه نویسی استاتیک است که در Google طراحی شده است و در جوامع توسعه دهنده بدافزار محبوبیت بیشتری دارد. در این گزارش، یک باج افزار تازه کشف شده در Golang را که سیستمهای لینوکس را مورد هدف قرار میدهد، تحلیل خواهیم کرد.
در تاریخ 30 ژوئیه سال 2019 میلادی، #باجافزار ی با عنوان TFlower مشاهده شد. بر اساس مشاهدات صورتگرفته، تمرکز اصلی این باجافزار بر روی سازمانها و شرکتها میباشد. طبق بررسیهای انجامشده، باجافزار TFlower هیچ پسوندی را به فایلهای رمزگذاری شده اضافه نمیکند و تنها نشانه اولیه آلودگی به این باجافزار، قرارگرفتن پیغام باجخواهی آن با عنوان !_Notice_!.txtدر سیستم قربانی میباشد. باجافزار TFlower از الگوریتم AES جهت رمزگذاری فایلهای مورد نظر خود در سیستم قربانی استفاده میکند. براساس اخبار منتشر شده، این باجافزار معمولاً از طریق پروتکل RDP به اهداف خود نفوذ کرده و مبلغ بسیار بالای 70 بیتکوین باج را درخواست میدهد.
در تاریخ 6 اکتبر سال 2019 میلادی، اخباری مبنی بر مشاهده #باجافزار ی با عنوان OnyxLocker منتشر شد. طبق مشاهدات صورت گرفته، این باجافزار از طریق یک سند مایکروسافت آفیس با فرمت RTF که کد فایل اصلی به آن تزریق شده است، به سیستم قربانی خود نفوذ میکند. طبق بررسیهای صورت گرفته، باجافزار OnyxLocker از کتابخانهای با نام XXTEA در فرآیند رمزنگاری خود بهره برده است. الگوریتم رمزنگاری مورد استفاده در کدنویسی این باجافزار، DES با طول کلید 192بیت میباشد. این باجافزار، پسوند فایلهای رمزگذاریشده را به onx. تغییر میدهد.