شناسایی باجافزار جدید برای بیمارستانها
به گزارش واحد امنیت سایبربان؛ برخلاف باجافزارهای قدیمی که به فریب کاربران برای کلیک بر روی یک پیوست آلوده رایانامه یا بازدید از یک وبگاه آلوده بستگی داشتند این نوع باجافزارهای جدید با سوءاستفادهی مجرم سایبری از آسیبپذیریهای وصله نشده کارگزار نصب میشوند. تا به امروز تنها بیمارستانها هدف این دو باجافزار بودهاند.
کریگ ویلیامز، رهبر ارشد فنی در Cisco Talos گفت: «درگذشته باجافزارهایی مثل CryptoLocker و TeslaCrypt به شخصی نیاز داشتند تا یک پیوست رایانامه را باز کند یا از وبگاهی بازدید کند. Sam Sam کارگزارهای آسیبپذیر را هدف قرار میدهد. این کارگزارها همیشه در دسترساند و همیشه پتانسیل آسیبپذیری رادارند.»
متخصصان امنیتی میگویند این روش جدید حمله در ناشناس ماندن بسیار مؤثر و برای ایجاد حداکثر خرابی در زیرساخت درونی یک شرکت بسیار مناسب است.
طبق گفته ویلیامز، Sam Sam میتواند با استفاده از آسیبپذیریهای شناختهشدهی کارگزارهای وصله نشدهی یک شرکت به درون شبکه یک بیمارستان نفوذ کند.
ویلیامز میگوید هنگامیکه مجرمان سایبری به شبکه دسترسی مییابند، سامانههای اطلاعاتی مهم و کلیدی را شناسایی میکنند تا بتوانند اطلاعات را رمزگذاری کنند. او گفت: «این باجافزارها برای قفلکردن رایانه شخصی نیست. Sam Sam کارگزارها و سامانههای را هدف قرار میدهد که اطلاعات بیمارستانی در آن قرار دارد.»
گروه امنیتی Cisco Talos با بررسی باجافزار Sam Sam نوشت: «عملکرد Sam Sam نامعمول است چراکه بهجای تمرکز روی کاربر از روشهای اجرا از راه دور بهره میبرد. مهاجمان سایبری از آسیبپذیریهای شناختهشده در کارگزارهای JBoss پیش از نصب لایه وب سوءاستفاده میکنند و سامانههای متصل شبکهای بیشتری را شناسایی و باجافزار Sam Sam را برای رمزگذاری پروندهها روی این دستگاه نصب میکنند.»
Cisco Tales توضیح میدهد که مجرمان سایبری از JexBoss که ابزار متنبازی برای آزمایش و استفاده از کارگزارهای کاربردی JBoss است استفاده میکنند؛ و همین باعث میشود که آنها به شبکه یک بیمارستان دسترسی یابند. بهمحض اینکه به شبکه دست یافتند، اقدام به رمزگذاری چند سامانه ویندوز با استفاده از Sam Sam میکنند.
متخصصان امنیتی میگویند بیمارستانها بهاینعلت که گفته میشود امنیت ضعیف و فنآوری قدیمی دارند، مورد هدف قرارگرفتهاند. البته اغلب دادههای حساسی در اختیار بیمارستانها است که در شرایط اضطراری دسترسی به آنها ضروری است.
ویلیامز میگوید: «اگر شما کارمند بیمارستان هستید و نگران Sam Sam نیستید من توصیه میکنم که نگران باشید. احتمال اینکه مجرمان سایبری شبکه بیمارستان شمارا بررسی کرده باشند و شما هم یکی از افراد در فهرست آنها باشید هست.» ویلیامز گمان میکند بیمارستانها اولین هدف از اهداف گوناگون ازجمله صنایع مهم هستند.
شرکت امنیتی Check Point گفته است هر دو باجافزار Sam Sam و Maktub زیرساخت کنترل و فرماندهی حمله معمولی ندارند. درواقع، هر دو باجافزار اطلاعات را رمزگذاری میکنند و پیوند آنها به وبگاههای ورد پرس (Word Press) تنها از راه شبکهی گمنامِ تور قابلدسترسی است.
Cisco Talos گفته است که برخلاف باجافزارهای دیگر، قربانیان میتوانند باکسی که باج را درخواست کرده است ارتباط برقرار کنند این ارتباط به مجرمان سایبری و قربانیان اجازه میدهد بر سر مسائلی مثل پرداخت باجافزار برای بازگشایی رمز سامانهها مذاکره کنند. برای مثال Cisco Talos نمونهای را عنوان کرد که برای باز کردن قفل یک سامانه بیت کوین درخواست کرده است یا مذاکرهای که باعث شد قربانیان پول کمتری برای باز کردن چند سامانه در یکزمان بپردازند.
گادی ناوه، یکی از محققین امنیتی در Check Point گفت: «تعداد رمزگذاری برونخط (آفلاین) در بین باجافزارها بسیار اندک است.» او گفت Sam Sam و Maktub بدون نیاز به ارتباط با کارگزار کنترل و فرماندهی میتوانند پروندهها را رمزگذاری کنند. CheckPoint در وبلاگی در مورد این باجافزار نوشت چیزی که Maktub را برجسته و متفاوت میکند این است که Maktub ابتدا پروندههایی را که میخواهد قفل کند، فشرده میکند تا بدین ترتیب سرعت رمزگذاری را افزایش دهد.
هر دو محقق میگویند که مجرمان سایبری پشت باجافزار Sam Sam و Maktub بهظاهر در اخاذی پول تازهکارند. ویلیامز گفت Sam Sam حملاتی که انجام داده است را با مبلغی پایین قیمتگذاری میکند و برای اینکه ببیند قربانیان تا چه حد پول میپردازند، خیلی آهسته مبلغ درخواستی خود را افزایش میدهد.
ناوه گفت: «اینیک ارزیابی از باجافزارهایی است که طی سال گذشته دیدهایم؛ و تفاوتی هم بین اشخاصی که از طریق رایانامه آلودهشدهاند و صنایعی که از طریق آسیبپذیریهای کارگزار آلودهشدهاند وجود ندارد. من معتقدم که در چند ماه آینده با تعداد بیشتری از این نوع باجافزار روبهرو خواهیم شد.»
