Cortizol Ransomware

آلودگی‌های بدافزاری همچنان از نظر مقیاس و پیچیدگی در حال افزایش هستند و این امر، حفظ دفاع قوی در تمام دستگاه‌ها را برای افراد و سازمان‌ها ضروری می‌سازد. باج‌افزار، به ویژه، خطری جدی محسوب می‌شود زیرا نه تنها محرمانگی داده‌ها را به خطر می‌اندازد، بلکه با قفل کردن کاربران از فایل‌های خودشان، دسترسی به آنها را نیز مختل می‌کند. یکی از تهدیدهای اخیراً تجزیه و تحلیل شده که نمونه‌ای از این خطرات است، باج‌افزار Cortizol است، یک بدافزار پیچیده رمزگذاری فایل که برای اخاذی از قربانیان از طریق ارعاب و دستکاری فنی طراحی شده است.

باج‌افزار Cortizol: یک طرح رمزگذاری حساب‌شده

باج‌افزار Cortizol طی تحقیقات دقیق بدافزاری که توسط محققان امنیت اطلاعات انجام شد، شناسایی شد. این باج‌افزار پس از اجرا روی یک سیستم، فایل‌ها را رمزگذاری کرده و نام آنها را با الگویی مشخص تغییر می‌دهد. به هر فایل رمزگذاری شده، یک شناسه قربانی، یک آدرس ایمیل تماس و پسوند '.Cortizol' اضافه می‌شود. به عنوان مثال، فایلی که در ابتدا '1.png' نام داشت به '1.png-id-6640599815[cortizol@atomicmail.io].Cortizol' تغییر نام می‌دهد، در حالی که '2.pdf' به '2.pdf-id-6640599815[cortizol@atomicmail.io].Cortizol' تبدیل می‌شود.

این تغییر نام دو هدف را دنبال می‌کند: به وضوح نشان می‌دهد که فایل‌ها به گروگان گرفته شده‌اند و جزئیات شناسایی را که مهاجمان برای ردیابی قربانیان استفاده می‌کنند، در خود جای می‌دهد. کورتیزول فراتر از رمزگذاری فایل، تصویر زمینه دسکتاپ را تغییر می‌دهد تا قابلیت مشاهده حمله را تقویت کند و یک یادداشت باج‌خواهی با عنوان «HOW_TO_RECOVER.txt» قرار می‌دهد تا اطمینان حاصل شود که قربانی نمی‌تواند از این حادثه غافل شود.

یادداشت فدیه و فشار روانی

یادداشت باج‌خواهی ادعا می‌کند که تمام فایل‌های موجود در سیستم آسیب‌دیده رمزگذاری شده‌اند و تأکید می‌کند که رمزگشایی بدون کلید خصوصی منحصر به فرد در اختیار مهاجمان غیرممکن است. به قربانیان هشدار داده می‌شود که هرگونه تلاش برای استفاده از ابزارهای رمزگشایی شخص ثالث یا تغییر نام فایل‌های رمزگذاری شده منجر به تخریب دائمی داده‌ها خواهد شد. چنین هشدارهایی یک تاکتیک روانشناختی رایج است که برای منصرف کردن تلاش‌های بازیابی مستقل در نظر گرفته شده است.

Cortizol به قربانیان دستور می‌دهد تا فایلی با نام 'key.Cortizol' را که ظاهراً در دایرکتوری 'C:\ProgramData\' یا درایوهای دیگر ذخیره شده است، پیدا کرده و آن را برای مهاجمان ارسال کنند. این یادداشت همچنین در مورد نصب مجدد یا تغییر سیستم عامل ویندوز بدون حفظ این فایل کلیدی هشدار می‌دهد و در صورت عدم رعایت دقیق دستورالعمل‌ها، تهدید از دست دادن غیرقابل برگشت داده‌ها را به همراه دارد. کانال‌های ارتباطی شامل آدرس ایمیل cortizol@atomicmail.io است.
و یک حساب تلگرام با نام Cortizol2025. این رویکرد تماس چند کاناله احتمال رعایت درخواست توسط قربانیان را افزایش می‌دهد.

در حالی که مهاجمان اصرار دارند که خرید کلید خصوصی تنها راه برای بازیابی دسترسی است، تجربه در حوزه امنیت سایبری همواره نشان می‌دهد که پرداخت باج هیچ تضمینی برای بازیابی فایل‌ها ارائه نمی‌دهد. مجرمان سایبری ممکن است در ارائه ابزار رمزگشایی کارآمد شکست بخورند یا ممکن است پس از پرداخت، ارتباط را به سادگی قطع کنند.

ناقل‌های عفونت و تکنیک‌های انتقال

باج‌افزار Cortizol با استفاده از روش‌های توزیع متنوعی که به خوبی شناخته شده‌اند، گسترش می‌یابد. ایمیل‌های فیشینگ همچنان یکی از مؤثرترین مکانیسم‌های توزیع هستند که اغلب حاوی پیوست‌های مخرب یا لینک‌های جاسازی‌شده‌ای هستند که باعث دانلود فایل مخرب می‌شوند. طرح‌های پشتیبانی فنی جعلی و تاکتیک‌های مهندسی اجتماعی، احتمال تعامل با کاربر را بیشتر افزایش می‌دهند.

عوامل تهدید همچنین باج‌افزار را از طریق نرم‌افزارهای غیرقانونی، کرک‌ها و مولدهای کلید به‌دست‌آمده از شبکه‌های اشتراک‌گذاری فایل غیررسمی یا نظیر به نظیر توزیع می‌کنند. وب‌سایت‌های آلوده، تبلیغات فریبنده، درایوهای USB آلوده و سوءاستفاده از آسیب‌پذیری‌های نرم‌افزارهای قدیمی، نقاط ورود دیگری را فراهم می‌کنند. بار مخرب معمولاً در فایل‌های اجرایی، اسکریپت‌ها، بایگانی‌های فشرده مانند فایل‌های ZIP یا RAR یا اسناد به ظاهر قانونی، از جمله فایل‌های Word، Excel و PDF، پنهان می‌شود. این ترکیب کد مخرب با فرمت‌های آشنا، میزان موفقیت آلودگی‌ها را افزایش می‌دهد.

خطرات تأثیر و پس از عفونت

پس از فعال شدن، Cortizol نه تنها فایل‌های قابل دسترسی را رمزگذاری می‌کند، بلکه ممکن است به اسکن داده‌های اضافی برای نفوذ نیز ادامه دهد. در صورت عدم حذف، باج‌افزار می‌تواند به صورت جانبی در سیستم‌های متصل در همان شبکه پخش شود و اختلال عملیاتی و خسارت مالی را افزایش دهد. هرچه بدافزار مدت بیشتری روی یک دستگاه باقی بماند، خطر رمزگذاری گسترده‌تر و استقرار احتمالی بار داده ثانویه بیشتر می‌شود.

بازیابی بدون کلید خصوصی مهاجمان معمولاً غیرممکن است، مگر اینکه پشتیبان‌های امن و بدون آسیب‌دیدگی وجود داشته باشد. به همین دلیل، سازمان‌ها و کاربران شخصی با پشتیبان‌های آفلاین یا مبتنی بر ابر قابل اعتماد، موقعیت بسیار بهتری برای بازیابی عملیات بدون تسلیم شدن در برابر درخواست‌های اخاذی دارند.

تقویت دفاع در برابر باج‌افزار

دفاع مؤثر در برابر تهدیداتی مانند Cortizol نیازمند یک رویکرد امنیتی لایه‌ای است که حفاظت‌های فنی را با آگاهی کاربر ترکیب کند. اقدامات زیر به طور قابل توجهی قرار گرفتن در معرض آلودگی‌های باج‌افزاری را کاهش می‌دهد:

• پشتیبان‌گیری‌های منظم و خودکار را به صورت آفلاین یا در محیط‌های ابری امن که از سیستم اصلی جدا هستند، نگهداری کنید.
• سیستم‌عامل‌ها، برنامه‌ها و نرم‌افزارهای امنیتی را به‌روز نگه دارید تا آسیب‌پذیری‌های شناخته‌شده را برطرف کنید.
• از راهکارهای معتبر محافظت از نقاط پایانی که قادر به تشخیص الگوهای رفتاری باج‌افزار هستند، استفاده کنید.
• از دانلود نرم‌افزارها یا فایل‌های دزدی از منابع غیررسمی و شبکه‌های نظیر به نظیر خودداری کنید.
• هنگام کار با پیوست‌های ایمیل یا کلیک روی لینک‌ها، به ویژه از فرستنده‌های ناشناس یا غیرمنتظره، احتیاط کنید.
• ماکروها را در اسناد آفیس غیرفعال کنید، مگر اینکه کاملاً ضروری باشند و ایمن بودن آنها تأیید شده باشد.

علاوه بر این اقدامات، حذف سریع باج‌افزار شناسایی‌شده برای جلوگیری از رمزگذاری بیشتر فایل‌ها یا انتشار شبکه بسیار مهم است. رویه‌های واکنش به حادثه باید شامل جداسازی سیستم آسیب‌دیده از شبکه، انجام اسکن کامل بدافزار و بازیابی داده‌های پاک از پشتیبان‌های موجود باشد.

باج‌افزار Cortizol نشان می‌دهد که چگونه باج‌افزار مدرن، مکانیسم‌های رمزگذاری فنی را با مهندسی اجتماعی و فشار روانی ترکیب می‌کند. شیوه‌های امنیتی پیشگیرانه، همراه با استراتژی‌های پشتیبان‌گیری قابل اعتماد از داده‌ها، همچنان موثرترین اقدامات متقابل در برابر چنین تهدیدات سایبری در حال تحول هستند.