کشف باج‌افزار جدید با رمزنگاری به شدت قدرتمند

نوع جدیدی از باج افزار کشف شده که از رمزنگاری بیش از حد قدرتمندی بهره می برد.

به گزارش موسسه امنیتی فورتیگارد این گونه جدید به نام Nemty شناخته می شود و اخیراً توسط یک بات توییتر که لینک های مربوط به کدهای بد افزارها را منتشر می کند، به اشتراک گذاشته شده. متخصصان حین بررسی کدهای این بد افزار متوجه شده اند که شباهت های زیادی بین این نمونه با باج افزار GandCrab وجود دارد؛ باج افزاری که مدتی قبل توسعه دهندگان آن به دلیل به دست آوردن پول کافی، خبر از بازنشستگی خود داده بودند. علاوه بر این نحوه انتشار این بدافزار شباهت های فراوانی با بدافزار سودینوکیبی (بدافزاری بسیار شبیه به GandCrab) دارد.

سودینوکیبی که به نام سودین و REvil هم شناخته می شود بدافزاری است که از روش هایی از جمله آسیب پذیری های روز صفر و کنسول های نرم افزارِ کنترل از دور برای آلوده کردن سیستم ها بهره می برد.

باج افزار Nemty

باج افزار Nemty در مرحله توسعه است اما نگرانی هایی را بر انگیخته

کلیدی که امکان رمز گشایی فایل های قفل شده توسط باج افزار را فراهم می کند کشف شده و به همین دلیل احتمالاً Nemty یک «باج افزار به عنوان سرویس» است. در بین کدها، بخش هایی مرتبط با بررسی آدرس آی پی کشورهای روسیه، بلاروس، قزاقستان، تاجیکستان و اوکراین به چشم می خورند؛ اما رمزنگاری می تواند بدون توجه به موقعیت مکانی کاربر انجام شود. تمامی این ها این تصور را ایجاد می کند که گروه احتمالی توسعه دهنده باج افزار Nemty احتمالاً تا پیش از بازنشستگی به تلاش برای توسعه آن ادامه داده است.

به گفته محققان بررسی های فنی Nemty نشان می دهد که بی نظمی های زیادی در کدهای این بدافزار وجود دارد و به همین دلیل احتمالاً مراحل اولیه توسعه را سپری می کرده است. همچنین یک صفحه پرداخت در شبکه Tor ایجاد شده که خبر از رمز گشایی فایل های قفل شده با پرداخت بیت کوین به ارزش معادل با هزار دلار می دهد.

در حالی که قابلیت هایی برای ارسال اطلاعات مرتبط با رمز نگاری داده های قربانی به سرور کنترل باج گیران طراحی شده اما در حال حاضر آدرس آی پی مربوط به سرور یافت نشده و به جای آن یک آدرس لوپ بک مشاهده می شود. به گفته محققان احتمالاً سرور هنوز به طور کامل و برای دریافت داده ها پیکربندی نشده است.

باج افزار Nemty

باج افزار Nemty برای قفل کردن اطلاعات قربانی از روش های رمزنگاری base64 و RC4 بهره می برد. گفته شده که ابتدا از یک مقدار 32 بیتی به عنوان کلید AES-128 استفاده می شود و سپس یک کلید متناظر RSA-2048 تولید می شود. پس از آن به طور غیر معمول از رمز نگاری RSA با اندازه کلید 8192 بیت استفاده می شود تا فایل مربوط به پیکربندی و کلید خصوصی، رمزنگاری شوند.

به گفته محققانِ فورتیگارد معمولاً رشته های 2048 و 4096 بیتی هم برای رمزنگاری و ایمن کردن پیام ها کافی هستند. به همین دلیل استفاده از رشته 8192 بیتی به این منظور بیش از حد نیاز است. علاوه بر این طول کلید بزرگتر موجب می شود زمان تولید کلید و نیز زمان مورد نیاز برای رمزگشایی به طور قابل ملاحظه ای افزایش یابد.

استفاده از رمز نگاری به شدت قوی به این معنی است که سیستم قربانی عملاً قابلیت رمز گشایی را ندارد. این موضوع چندان خوشایند نیست چرا که گاه راهکارهای ارائه شده از سوی شرکت های سایبری تنها روش برای بازیابی فایل های قفل شده توسط باج افزارها (بدون پرداخت به تولید کنندگان آن) هستند.

در نهایت محققان اشاره کرده اند که باج افزار Nemty با اینکه همچنان در مرحله توسعه قرار دارد، می تواند به طور مؤثری فایل ها را رمزنگاری کند و یک تهدید جدی به حساب می آید. در صورتی که نسخه کامل تری از این بدافزار عرضه شود نگرانی ها بیش از پیش افزایش خواهد یافت.

مطالب مرتبط

امتناع هکرهای سازنده باج افزار از حمله به سازمان‌های بهداشتی و درمانی

بعضی گروه‌های هکری سازنده باج‌افزار اعلام کرده‌اند که در دوره همه‌گیری کرونا حمله به سازمان‌های بهداشتی و درمانی را متوقف خواهند کرد. شب گذشته، وبسایت BleepingComputer با تعدادی از گروه‌های هکر مشهور از جمله Maze، DoppelPaymer، Ryuk، Sodinokibi/REvil، PwndLocker و Ako Ransomware گفتگو کرده و از آن‌ها پرسیده که آیا در دوران کرونا همچنان به سازمان‌های بهداشتی حمله می‌کنند یا خیر؟پاسخ... ادامه مطلب

پایان موفقیت آمیز سال ۲۰۱۹ برای هکرها؛ ثبت دست کم ۹۴۸ حمله باج افزاری در آمریکا

هکرها با 948 حمله باج افزاری به دولت های محلی، بیمارستان ها و مدرسه های سطح آمریکا، سال 2019 را با موفقیت پشت سر گذاشتند.بر اساس گزارشی که اخیراً توسط شرکت امنیتی Emsisoft منتشر شده، دست کم 948 حمله باج افزاری در سال 2019 رخ داده است که از این میزان 103 حمله به دولت... ادامه مطلب

انتشار ابزاری رایگان برای مقابله با باج افزار خطرناک Jigsaw 

باج افزار خطرناک Jigsaw بر اساس سناریوی فیلم اره طراحی شده و فایل های کاربر را یکی پس از دیگری حذف می کند.Jigsaw از سال ۲۰۱۶ در حال قربانی گرفتن است و شهرت خود را مدیون تحت فشار قرار دادن کاربر برای پرداخت سریع باج است. ظاهرا توسعه دهندگان این بدافزار ایده وارد کردن فشار روانی... ادامه مطلب

کشف باج افزار PureLocker که سرورهای سازمانی را هدف گرفته است

محققین امنیتی به باج افزار PureLocker برخورده اند که مستقیماً با هدف آلوده کردن سرورهای سازمانی طراحی شده و احتمالاً به یکی از خطرناک ترین گروه های هک دنیا تعلق دارد.باج افزار جدید که اطلاعات سرورها را رمزنگاری می کند، توسط تحلیلگران امنیتی شرکت Intezer و IBM X-Force شناسایی شده است. این باج افزار به... ادامه مطلب

قربانی باج افزار Muhstik انتقام سختی از هکرها گرفت

یکی از قربانیان باج افزار Muhstik با حمله متقابل به سرور هکرها، تمام کلیدهای رمزگشایی آنها را در اینترنت منتشر کرد.کاربری به نام «توبیاس فورمل» که از رمزنگاری فایل هایش توسط Muhstik به ستوه آمده بود، سرور کنترل و فرمان این باج افزار را هدف گرفته و علاوه بر انتشار عمومی کلیدهای رمزگشایی، یک ابزار تولید رمز را... ادامه مطلب

مقام ارشد دولت آمریکا: هیچکس نمی‌تواند جلوی حملات مشابه واناکرای را بگیرد

یکی از مقام‌های ارشد امریکا در امور سایبری از ناتوانی دولت این کشور در جلوگیری از انجام حملات مشابه واناکرای خبر داده است.«جنت منفرا»، معاون «آژانس امنیت سایبری و زیرساخت» وزارت امنیت داخلی امریکا در کنفرانس Disrupt SF  تک کرانچ به گفتگو درباره حملات سایبری و به ویژه باج افزار واناکرای پرداخت که به سرعت صدها... ادامه مطلب

ویجیاتو

نظرات ۰

وارد شوید

برای گفتگو با کاربران، وارد حساب کاربری خود شوید.

ورود

رمزتان را گم کرده‌اید؟