براساس یافته­ های محققان حوزه #‫بدافزار، باج‌افزار جدیدی با نام MarraCrypt از خانواده #‫باج_افزار Hermes در February سال 2020 انتشار یافته است که با استفاده از الگوریتم RSA-4096 تمام فایل­های موجود در سیستم را رمزگذاری کرده و پسوند [newpatek@cock.li].MARRA را به انتهای هرکدام از آن­ها اضافه می­کند و یک فایل راهنما بصورت MARRACRYPT_INFORMATION.HTMLرا در داخل هر پوشه ایجاد می­کند.

موج تازه‌ای از فیشینگ، بکدور جدیدی ساخته شده توسط توسعه‌دهندگان بدافزار TrickBot را پخش می‌کند؛ این بکدور برای نفوذ و دسترسی کامل به شبکه‌ی سازمان قربانی استفاده می‌شود.
در حملات پیشین مربوط به شبکه مثل بدافزارهایی که یک سازمان خاص را هدف قرار می‌دهند و یا حملاتexfiltration ، تحت کنترل گرفتن شبکه‌ی سازمان به صورت پنهانی یک گام ضروری بود؛ اما در حملات فیشینگ مشاهده شده در چند وقت اخیر یک بدافزار جدید به نام «BazarBackdoor» نصب شده و برای مهاجمان به عنوان ابزاری برای تحت کنترل گرفتن شبکه عمل می‌کند.

حمله WildPressure نهادهای مرتبط با صنعت را در خاورمیانه هدف قرار می‌دهد. در آگوست 2019 آزمایشگاه Kaspersky، کمپین مخربی که یک تروجان کاملاً فرّار C++ به نام Milum منتشر می‌کرد را کشف کرد. همه قربانیان ثبت شده این تروجان، سازمان‌های واقع در خاورمیانه بودند. برخی از آنها به بخش صنعت مرتبط بودند. موتور اختصاصی تهدید Kaspersky هیچ شباهت کدی با کمپین‌های شناخته شده مشاهده نکرده است؛ و تا کنون اهداف مشابهی یافت نشده است. در واقع سه نمونه یکسان در یک کشور اتفاق افتاده است. بنابراین ما حملات را هدف قرار داده و در حال حاضر این عملیات را WildPressure نام‌گذاری کرده‌ایم.

بدافزار TrickBot احراز هویت دو مرحله‌ای را در خدمات بانکی اینترنتی از طریق موبایل دور می‌زند. نویسندگان بدافزار در پشت پرده تروجان بانکی TrickBot یک نرم‌افزار اندرویدی ایجاد کرده‌اند که می‌تواند کد احراز هویت یک بار مصرف ارسال شده توسط پیامک یا ارسال اعلان‌ (ایمن‌تر) به مشتریان بانکی اینترنتی را قطع کرده و عملیات کلاهبرداری خود را تکمیل کند.

در این گزارش، به بررسی برنامه #‫فیلترشکن، از دسته بدافزارهای #‫پوشفا پرداخته شده که به تازگی مجددا اقدام به تولید و انتشار بدافزار کرده است. این بدافزار با داشتن مجوزهای دریافت، خواندن و ارسال پیامک قادر است قربانی را عضو سرویس‌های ارزش‌افزوده نماید. مرکز کنترل و فرمان بدافزار نیز در آدرس https://pushfa.app/ قرار دارد که از طریق آن می‌تواند اقدامات مختلفی از جمله دانلود و نصب برنامه دیگر، باز کردن لینک در مرورگر و تلگرام، ارسال پیامک و ... روی دستگاه قربانی انجام دهد.

وقتی صحبت از #‫امنیت_سایبری می‌شود، پیش‌بینی تهدیدات به جای واکنش مقابل آنها دارای اهمیت بالاتری است. در یک چشم انداز کلی، تهدیدات به طور مداوم در حال تغییر و تحول است، دیگر وصله کردن رخنه‌ها و یا انجام به‌روزرسانی‌ها در مقابل تهدیدات دیروز، دیگر کافی نیست. سال جدیدی پیش روی ماست و همراه آن تهدیدهای جدیدی، به ویژه در دنیای امنیت سایبری، در انتظار ماست. در این مطلب 5 پیش‌بینی در حوزه امنیت سایبری برای سال 2020، به منظور کمک در پیشگیری از تهدیدات آورده شده است که در ادامه بررسی خواهند شد.

  مشاهدات اخیر حاکی از آن است که #‫باج‌افزار Sodinokibi کاربران استفاده کننده از مرورگر اینترنت اکسپلورر را در منطقه آسیا مورد هدف قرار داده است. باج‌افزار Sodinikibiکه به اسامی دیگری از جمله Sodinو Revilنیز شناخته می‌شود، برای اولین بار در ماه آوریل 2019 میلادی مشاهده گردید. این باج‌افزار در حال حاضر فاقد رمزگشا می‌باشد.

به تازگی محققان شرکت Symantec برنامه‌ی مخربی را کشف کرده‌اند که بر روی گوشی تلفن همراه تبلیغات ناخواسته نمایش می‌دهد، خود را از دید کاربران پنهان می‌کند و نیز می‌تواند برنامه‌های مخرب بیش‌تری را دانلود کند. این اپلیکیشن که #Xhelper نام دارد پس از حذف، مجدداً خود را نصب می کند و به گونه‌ای طراحی شده است که با ظاهر نشدن در منوی برنامه‌های گوشی، پنهان می‌ماند. این برنامه در شش ماه گذشته بیش از 45000 دستگاه را آلوده کرده است.

دانلود گزارش

رمزگشای باج‌افزار Syrk توسط پژوهشگران شرکت امنیتی Emsisoft ارائه شد.
باج‌افزار Syrk برای اولین بار در ماه آگوست 2019 میلادی مشاهده گردید. طبق اخبار منتشر شده، این باج‌افزار که ظاهراً در پوشش یک ابزار هک برای بازی ویدیویی Fortnite منتشر می‌گردد، فایل‌های قربانی را با الگوریتم AES-256رمزگذاری نموده پسوند .Syrk را به انتهای فایل‌های رمزگذاری شده اضافه می‌کند. باج‌افزار مورد اشاره متن پیغام باج‌خواهی خود را در قالب یک فایل متنی به نام Readme_now.txt و با مضمون زیر در سیستم قربانی قرار می‌دهد:

براساس بررسی های انجام شده در فضای بدافزارهای ایرانی، دسته ای از بدافزارها با صدها نمونه ی مختلف کشف شد که همگی آنها مربوط به توسعه دهنده ای به نام “RTR” است. بدافزارهای RTR با رفتارهای مخرب و عناوین متنوعی در حال انتشار و فعالیت هستند. برخی از این بدافزارها در فروشگاه های اندرویدی منتشر شده اند و برخی دیگر از طریق تبلیغات تلگرامی و دانلود خودکار توسط دیگر برنامه ها روی دستگاه قربانیان قرار گرفته اند. به طورکلی بدافزارهای RTR را می توان در5 شاخه مختلف دسته بندی کرد:
1 بدافزارهای مخفی شونده که از نام‌های مستهجن برای جذب مخاطب استفاده می‌کنند.