باج‌افزار «Locky» عامل وضعیت اضطراری در آمریکا

به گزارش واحد هک و نفوذ سایبربان؛ در میان باج‌افزارهایی که توانسته‌اند بیشتر از یک ماه در فضای مجازی دوام بیاورند، Locky برای خود نامی دست‌وپا کرده است.

این بدافزار هنگامی معروف شد که ماه گذشته در مرکز پزشکی هالیوود در لس‌آنجلس، مدیران آن را دچار پریشانی و سردرگمی کرد و این بار قربانی دیگری در این هفته در بیمارستان متودیست  کنتاکی یافته است.

این بیمارستان ۲۱۷ تخت‌خوابه که یک مرکز مراقبت حاد در کنار رودخانه اهایو است، در وب‌گاه خود علامت قرمزی را نشان داده و ادعا کرده است که در حال تلاش بر روی «یک وضعیت اضطراری داخلی به‌واسطه وجود یک بدافزار است» که موجب شده تا «استفاده از دستگاه‌های الکترونیکی این بیمارستان محدود شوند».
بر اساس اظهارات برایان کربس از KrebsonSecurity.com که با جیمی رید، مدیر سامانه‌های اطلاعاتی این بیمارستان این هفته صحبت کرده است، این حمله پس‌ازآن رخ داد که یکی از کارمندان، ضمیمه رایانامه هرزنامه‌ای را باز کرد و موجب آلودگی به بدافزار Locky شد.

این حمله جمعه گذشته شروع شد و چهار روز ادامه یافت. مقامات بیمارستان به گزارشگر خبرگزاری محلی روز دوشنبه گفته‌اند که سامانه‌های آن‌ها روشن و در حال کار است. برخلاف بیمارستان هالیوود که بر اساس گزارش‌ها ۱۷ هزار دلار را برای برگرداندن پرونده‌های خودپرداخت کرده است، مقامات متودیست ادعا کرده‌اند که پولی را بابت باج پرداخت نکرده‌اند.

 مقامات بیمارستان متودیست: «باجی پرداخت‌نشده است. سامانه‌های ما روشن و در حال کار هستند.»
معاون ارشد عملیاتی بیمارستان دیوید پارک جمعه گذشته به شبکه خبری ۱۴ گفته است که مهاجمان سوابق بیماران را رونوشت کرده و آن‌ها را رمزگذاری کرده‌اند و سپس نسخه اصلی آن‌ها را پاک‌کرده‌اند، این الگوی فعالیتی است که باج‌افزار Locky انجام می‌دهد. با چنین سابقه‌ای از حملات با این ماهیت‌، Park تأیید کرد که شروع به همکاری با FBI کرده است و نسخه‌های پشتیبان سامانه‌های بیمارستان راکمی پس از حمله فعال کرده است.
بر اساس گفته‌های آقای رید این باج‌افزار طوری برنامه‌ریزی‌شده است که سریعاً از یک سامانه به سامانه‌ی دیگر در سراسر شبکه منتشر شود، کاری که موجب شده است تا بیمارستان همه رایانه‌های خود را از حالت برخط خارج کند تا بتواند همه آن‌ها را یک‌به‌یک برای وجود باج‌افزار بررسی کند.

قبل از اینکه این مشکل حل شود، Park به کربس گفته است که این بیمارستان پرداخت باج را رد نکرده است و اضافه می‌کند که این بیمارستان برنامه‌ای برای پرداخت باج نداشته است مگر اینکه آن‌ها مطلقاً مجبور به این کار شوند.

در نامه‌ای به کارمندان بیمارستان در جمعه گذشته، Park و Bruce Begley مدیر اجرایی بیمارستان متودیست ادعا کرده‌اند که بخش مدیریت سامانه‌های اطلاعاتی بیمارستان در حال کار روی مشکل هستند و «مجدانه برای انجام یک رویکرد روشمند تلاش می‌کنند.» این تلاش بخش‌های مختلف را تشویق می‌کند تا «سیاست مناسب خود را به‌کارگیرند» و به‌شدت از طریق پیام‌های متنی و صوتی در ارتباط باشند.

 از مطالب مهم دیگری که مقامات این بیمارستان به جسیکا گوین از  شبکه خبری ۱۴ گفته است اینکه در زمان حمله آن‌ها شبکه بیمارستان را دوباره بازسازی کرده‌اند و شروع به انجام یک برنامه آموزشی برای کارمندان کرده‌اند تا از شیوع چنین حملاتی در آینده جلوگیری کنند.

درحالی‌که بیمارستان‌ها به‌طور فزاینده‌ای هدف حملات باج‌افزارها در چند ماه اخیر قرارگرفته‌اند، لارنس آبرامز، یک متخصص جرم‌شناسی رایانه‌ای و بنیان‌گذار BleepingComputer.com فکر نمی‌کند که مهاجمان به‌راحتی خود را از این عرصه بیرون بکشند.

آبرامز روز سه‌شنبه نوشت: «من تصور نمی‌کنم که در این زمان توسعه‌دهندگان باج‌افزار و منتشرکنندگان آن بخواهند واقعاً بیمارستان‌ها را مورد هدف قرار دهند. آن‌ها به دنبال وب‌گاه‌های آسیب‌پذیری هستند که بتوانند به آن‌ها نفوذ کنند تا باج‌افزار را در آن منتشر کنند و بیمارستان‌هایی که آلوده‌شده‌اند با اشتباه کاربران آلوده‌شده‌اند.»
او می‌گوید: «من بر این باور هستم که سازمان‌ها و شرکت‌هایی که دارای مدارک و داده‌های فراوانی هستند و بر اساس آن‌ها کار می‌کنند در آینده به‌طور مشخص هدف توسعه‌دهندگان باج‌افزارها خواهند بود» و اضافه می‌کند که بیمارستان‌ها، وکلا و معماران به‌احتمال‌زیاد موردحمله قرار خواهند گرفت چراکه باج‌افزارها صرفاً مدارک و پرونده‌های مهم را موردحمله قرار می‌دهد.

محققان در ماه فوریه اولین مرحله از سیل آلودگی‌های باج‌افزار Locky را نشان دادند که بر اساس ماکروهای سند محور بناشده تا به بارگیری و اجرای سایر مؤلفه‌های خود بپردازد. مشاهده‌های اولیه آن بسیار جالب‌توجه بود چراکه آن‌ها از فنی استفاده می‌کردند که Dridex به کار می‌گرفت و کاربر را وا‌می‌داشت تا یک سند وُرد آفیس حاوی بدافزار را باز کند و سپس ماکروهای موجود در آن فعال‌شده و باج‌افزار فعالیت خود را آغاز می‌کرد.
دو هفته قبل، محققان Trustwave چشم‌انداز وسیعی را در توسعه باج‌افزار Locky مشاهده کردند که با یک بردار حمله‌ی متفاوت دیده‌شده بود، یک حمله هرزنامه‌(اسپم) شدید که نشان می‌داد، دیگر به ماکروها نیازی نیست.
بر اساس اظهارات محققان zScaler که شاهد موجی آلودگی این بدافزار در سه هفته اخیر بوده‌اند و یافته‌های خود را در روز سه‌شنبه منتشر کردند، در این حمله به کاربران یک فایل آرشیوی (zip.) ارسال می‌شد که حاوی یک پرونده‌ی جاوا اسکریپت مخرب بود و موجب می‌شد تا محموله‌های لازم برای Locky بارگیری و اجرا شوند.
بر اساس گفته‌های دو محقق دیپان دسای و هانالکسمی ، این باج‌افزار در زمره یکی از فعال‌ترین و پرسودترین گونه‌های بدافزاری توسعه می‌یابند که آن‌ها در سه سال اخیر دیده‌اند.

 محققان می‌گویند که بیشترین حمله‌ها از طریق پیوست‌های هرزنامه‌ها صورت می‌گیرد. به‌محض اینکه این حمله شروع شد، محموله‌‌ای که این بدافزار به همراه داشت توسط محققان مورد تجزیه‌وتحلیل قرار گرفت و مشخص شد که یک فایل اجرایی (exe.) ویندوز ۳۲ بیتی نوشته‌شده با «Microsoft Visual C++» است که به صورتی معمول بسته‌بندی (Pack) شده است. 

همچنان که دیگر منابع اشاره‌کرده‌اند، Locky پرونده‌ها را رمزگذاری کرده و آن‌ها را با پسوند (.locky) تغییر نام می‌دهد و از کاربران می‌خواهد تا باج را به شکل بیت کوین پرداخت کرده تا بتوانند پرونده‌های خود را بازیابی کنند. درحالی‌که بیمارستان متودیست مجبور به پرداخت این باج‌افزار نشده است، کربس ادعا می‌کند که مهاجمان در اصل از این بیمارستان خواسته بودند تا چهار بیت‌ کوین معادل ۱۶۰۰ دلار پرداخت کنند.