یک نوع باج افزار جدید شناسایی شده است که می تواند با رمزگذاری خود از شناسایی فرار کند.
محققان امنیت سایبری شرکت ریسک و راه حل های مشاوره مالی Kroll اخیراً گونه ای از باج افزار معروف به کاکتوس را کشف کرده اند.
علاوه بر عملیات معمول - رمزگذاری فایلها و گذاشتن یادداشت باج - این بدافزار همچنین یک راه منحصر به فرد برای جلوگیری از شناسایی شدن توسط برنامههای آنتی ویروس و راهحلهای امنیتی نقطه پایانی دارد.
پیدا کردنش سخته
همانطور که توسط BleepingComputer گزارش شده است، این باج افزار دارای سه حالت اصلی اجرا است که یکی از آنها رمزگذاری است. هنگامی که محموله مستقر شد، مهاجمان یک کلید AES منحصر به فرد را به بدافزار ارائه می دهند که فقط خودشان می دانند. این کلید برای رمزگشایی فایل پیکربندی باجافزار و کلید عمومی RSA که برای رمزگذاری هر چیز دیگری در نقطه پایانی مورد نیاز است، استفاده میشود. کلید به صورت یک رشته HEX که در باینری رمزگذار رمزگذاری شده است ارائه می شود.
با رمزگشایی رشته HEX، مهاجمان داده های رمزگذاری شده ای را به دست می آورند که در صورت داشتن کلید AES می توانند آنها را بخوانند.
Laurie Iacono، مدیر عامل ریسک سایبری در Kroll، به Bleeping Computer گفت: «CACTUS اساساً خودش را رمزگذاری میکند و تشخیص آن را سختتر میکند و به آن کمک میکند تا از آنتیویروسها و ابزارهای نظارت بر شبکه فرار کند».
چیزی که کاکتوس را جالب می کند این است که دارای چندین حالت رمزگذاری از جمله حالت سریع است. اگر اپراتورها تصمیم بگیرند هر دو حالت را یکی پس از دیگری اجرا کنند، فایل ها دو بار رمزگذاری می شوند و دو پسوند فایل دریافت می کنند.
اطلاعات بسیار کمی در مورد عملیات باج افزار کاکتوس وجود دارد. ما نمی دانیم که آیا در حال حاضر هیچ کسب و کاری مورد حمله قرار گرفته است یا در حال مذاکره برای پرداخت است. اگرچه تایید نشده است، اما برخی گزارشها ادعا میکنند که این گروه هنگام درخواست پرداخت «میلیونها» درخواست میکند. ما همچنین نمی دانیم که این گروه در گذشته چقدر موفق بوده است.
طبق معمول، بهترین راه برای محافظت در برابر باجافزار این است که نرمافزار و سختافزار را مرتباً وصله کنید، راهحلهای امنیت سایبری را راهاندازی کنید، و نیروی کار خود را در مورد خطرات حملات فیشینگ و مهندسی اجتماعی آموزش دهید.
از طریق: BleepingComputer (در برگه جدید باز می شود)
