IPImen ، Firewall ، NGFirewall-UTM، آیپی ایمن، فایروال ایرانی ، فایروال بومی، یوتی ام بومی، یوتی ام ایرانی، فایروال نسل بعدی ایرانی، فایروال نسل بعدی بومی

DarkWeb

کلمات رایج امنیت شبکه و فناوری اطلاعات IPImen

باج افزار Lorenz، تهدید امنیتی جدید برای سازمان ها

 

یک تهدید امنیتی دیگر در اکوسیستم باج افزاری به قصد هدف قرار دادن مشاغل و شرکت ها ظاهر شده است. این بدافزار که به نام Lorenz شناخته میشود، یک باج افزار جدید است که از استراتژی باج گیری مضاعف برای درآمدزایی استفاده می کند.

 

درباره بدافزارLorenz

لیتست هکنیگ نیوز گزارش داده که بلیپینگ کامپیوتر اخیراً جزئیات باج افزار Lorenz (لورنز) را که به تازگی ظاهر و شناسایی شده را به اشتراک گذاشته است. حدود یک ماه از آغاز فعالیت این باج افزار میگذرد و از آن زمان شرکت های زیادی را هدف حملات باج افزاری خود قرار داده است.

به طور خلاصه، این باج افزار درست مانند بقیه، با در اختیار گرفتن شبکه های آنها، از کسب و کارها و شرکت ها باج می گیرد. پس از آلودگی، لورنز به صورت جانبی بر روی شبکه هدف گسترش یافته و پخش میشود تا درنهایت به اعتبارنامه مدیر دامنه ویندوز برسد.

همانطور که این باج افزار گسترش می یابد، داده های رمزگذاری نشده قربانی را مرتباً اضافه و نگهداری می کند و به سرورهای خود می فرستد. به همین سادگی لورنز به لیست باج افزارهای دیگری که باج گیری دو یا سه برابری انجام می دهند، اضافه میشود.

لورنز پس از تثبیت خود و سرقت داده ها، ضمن افزودن پسوند ".Lorenz.sz40" به نام فایل ها، داده ها را رمزگذاری می کند.

گرچه همه اینها برای یک باج افزار معمول و رایج به نظر میرسد اما لورنز نیز برخی از استراتژی های منحصر به فرد را در این زمینه میتواند به نمایش بگذارد.

در ابتدا لورنز یک بدافزار سفارشی سازی شده قابل اجرا برای قربانی هدف خود ارائه داده و در سیستم هدف اجرا میکند. همچنین، گروه بدافزاری برای هر قربانی یک سایت اختصاصی پرداخت بر پایه Tor ایجاد می کند.

علاوه بر این، بدافزار برخلاف سایر باج افزارها، فرایندها یا سرویس های ویندوز را قبل از رمزگذاری از بین نبرده و غیرفعال نمیکند.

در مورد باج نیز، این باند معمولاً تقاضای زیادی و بین 500 تا 700 هزار دلار مطالبه میکند. عدم پرداخت این باج، مهاجمان را به سمت آغاز فرایند انتشار اطلاعات سرقت شده در دارک وب هدایت می کند.

در ابتدا گروه لورنز، فروش داده ها به رقبا را در اولویت قرار میدهند. سپس تا پایان مهلت پرداخت باج، شروع به بایگانی داده های محافظت شده با رمز عبور می کنند. بعد از پایان مهلت، آنها به راحتی رمز عبور را نیز منتشر می کنند و به طبع آن داده ها را در دسترس عموم قرار می دهند.

باز هم، آنچه لورنز را منحصر به فرد می کند این است که آنها نه تنها اطلاعات سرقت شده را فاش می کنند. بلکه آنها دسترسی به شبکه داخلی قربانی را نیز نشت داده و افشا میکنند.

 

ظاهرا این بدافزار نوعیThunderCrypt است

در حالی که لورنز رفتار تا حدودی متمایز از خود نشان می دهد، به نظر می رسد که این باج افزار اساساً نوع دیگری از باج افزار ThunderCrypt است.

در حال حاضر تاکنون با ادامه تجزیه و تحلیل این باج افزار، جزئیات زیاد و جدیدی در مورد لورنز در دسترس قرار نگرفته است. با این وجود در مدت زمان کوتاهی، سایت نشت و افشای اطلاعات متعلق به آنها نشان می دهد که باج افزار تا کنون حدود 12 قربانی مختلف را هدف قرار داده است. در این میان، آنها اطلاعات سرقت شده از 10 مورد را فاش و منتشر کرده اند!

ضبط سرورها و محدودیت حساب بیتکوین باج افزار DarkSide بعد از حمله به زیرساخت های سوخت ایالات متحده

 

باند بدافزار DarkSide در پشت حمله سایبری اخیر به Colonial Pipeline بوده است اما مشخص نیست که چه کسی در پشت پرده اختلال در زیرساخت های سایبری DarkSide بوده است.

گروه مجرمان سایبری باج افزار DarkSide که باعث بروز وقفه ای شش روزه در خط لوله Colonial Pipeline در هفته گذشته که منجر به کمبود سوخت و افزایش قیمت در سراسر ایالات متحده شده بودند، در حال پایان دادن به آن هستند.

این باند مجرمین اعلام کرد پس از آنکه سرورهای آنها ضبط شد و همچنین در پی درز اطلاعات حساب رمزارز این گروه توسط عاملان ناشناس، که برای پرداخت های خود از آن استفاده میکردند، عملیات خود را متوقف می کند.

در صورت دسترسی از طریق TORبه دارک وب و بررسی آدرس سایت DarkSide، اعلانی نمایش داده میشود که اعلام میکند این آدرس قابل یافتن نیست.

takian.ir bitcoin servers darkside ransomware gang seized 1

پیامی که توسط این گروه ارسال شده، بدین مضمون است: "چند ساعت پیش، ما دسترسی به بخش عمومی زیرساخت های خود را از دست دادیم".

در ادامه این پیام توضیح داده است که این خسارت بر وبلاگ قربانیان که اطلاعات سرقت شده از قربانیانی که از پرداخت باج خودداری کرده اند، منتشر می شود، تأثیر گذاشته است.

این حمله همچنین سرور پرداخت آنها و مواردی که ویژگی DoS آن را تأمین می کنند و برای تهییج کردن قربانیانی که از پرداخت باج ممانعت میکنند، مورد استفاده قرار میگرفته، از کار انداخته است.

این بروزرسانی همچنین ادعا میکند که سازمان دهندگان DarkSide در حال انتشار ابزارهای رمزگشایی برای تمام شرکت هایی هستند که تحت حمله باج افزاری قرار گرفته اند، اما هنوز هزینه ای پرداخت نکرده اند.

در این دستورالعمل ها آمده است: "پس از آن، شما آزاد خواهید بود هر کجا که خواستید با آنها ارتباط برقرار کنید".

takian.ir bitcoin servers darkside ransomware gang seized 2

همانطور که توسط برخی از متخصصان، به ویژه Intel471 اعلام شده است، برخی از اعضای اصلی DarkSide نیز با باند REvil گره خورده اند. جای تعجب نیست که برخی از متن های جزئیات پیام توسط DarkSide ظاهراً توسط یکی از رهبران پلتفرم سرویس باج افزار REvil نوشته شده است.

به گفته برایان کربس، نماینده REvil گفته است که برنامه آن ایجاد محدودیت های جدید در سازمان هایی است که شرکت های وابسته آنها می توانند هدف حملات باج افزاری واقع شوند؛ و از این پس حمله به "بخش اجتماعی" (که به عنوان موسسات بهداشتی و آموزشی تعریف شده است) و سازمانها در "بخش دولت" (ایالت) هر کشور ممنوع است. همکاران وابسته نیز قبل از آلوده کردن قربانیان ملزم به دریافت تأییدیه می شوند.

در زمان انتشار این مقاله، هنوز مشخص نبود که چه کسی وب سایت Darkside را مجبور به قطع ارتباط وب کرده و چه کسی پشت تخلیه حساب رمزنگاری شده آنها است.