End Ransomware

محافظت از دستگاه‌ها در برابر بدافزارها، مسئولیتی حیاتی برای افراد و سازمان‌ها است. عملیات باج‌افزارهای مدرن بسیار سازمان‌یافته، از نظر فنی پیشرفته و با انگیزه‌های مالی است. یک آلودگی موفق می‌تواند منجر به از دست رفتن شدید داده‌ها، اختلال در عملیات، آسیب به اعتبار و فشار مالی شود. یکی از این تهدیدهای پیچیده، باج‌افزار End است، گونه‌ای که تاکتیک‌های در حال تکامل و مکانیسم‌های فشار روانی رایج در چشم‌انداز جرایم سایبری امروزی را نشان می‌دهد.

باج‌افزار End: گونه‌ای از MedusaLocker با تاکتیک‌های تهاجمی

تجزیه و تحلیل عمیق، باج‌افزار End را به عنوان گونه‌ای متعلق به خانواده MedusaLocker شناسایی کرده است. محققان امنیتی این تهدید را در جریان تحقیقات در مورد کمپین‌های بدافزار فعال که کاربران شخصی و محیط‌های سازمانی را هدف قرار می‌دادند، کشف کردند.

پس از اجرا روی یک سیستم آلوده، باج‌افزار End یک حمله چند مرحله‌ای را آغاز می‌کند. این باج‌افزار فایل‌ها را با استفاده از ترکیبی از الگوریتم‌های رمزنگاری RSA و AES رمزگذاری می‌کند و اطمینان حاصل می‌کند که داده‌ها بدون کلید رمزگشایی مهاجمان غیرقابل دسترسی می‌شوند. فایل‌های رمزگذاری شده با پسوند '.end11' اضافه می‌شوند. به عنوان مثال، '1.png' به '1.png.end11' تغییر نام می‌دهد و '2.pdf' به '2.pdf.end11' تبدیل می‌شود. این تغییر به وضوح نشان‌دهنده رمزگذاری موفقیت‌آمیز است و از دسترسی عادی به فایل جلوگیری می‌کند.

علاوه بر رمزگذاری فایل، این باج‌افزار تصویر زمینه دسکتاپ قربانی را تغییر می‌دهد و یک یادداشت باج‌خواهی با عنوان «HOW_TO_RECOVER_DATA.html» قرار می‌دهد. این اقدامات برای به حداکثر رساندن دید و فشار طراحی شده‌اند تا اطمینان حاصل شود که قربانی بلافاصله شدت حادثه را درک می‌کند.

یادداشت باج و استراتژی اخاذی مضاعف

یادداشت باج‌خواهی ادعا می‌کند که فایل‌ها رمزگذاری شده‌اند اما به طور دائمی آسیب ندیده‌اند و تأکید می‌کند که بازیابی فقط با کمک مهاجمان امکان‌پذیر است. به قربانیان هشدار داده شده است که از ابزارهای بازیابی شخص ثالث استفاده نکنند یا سعی در تغییر نام یا تغییر فایل‌های رمزگذاری شده نداشته باشند، زیرا انجام این کار می‌تواند باعث آسیب جبران‌ناپذیری شود.

یکی از جنبه‌های نگران‌کننده‌ی End Ransomware، استفاده‌ی آن از تاکتیک‌های اخاذی مضاعف است. در این یادداشت ادعا شده است که داده‌های محرمانه و شخصی استخراج شده و در یک سرور خصوصی که توسط مهاجمان کنترل می‌شود، ذخیره شده‌اند. طبق این پیام، داده‌های سرقت شده پس از پرداخت از بین خواهند رفت. با این حال، ظاهراً امتناع از رعایت این درخواست منجر به انتشار عمومی یا فروش اطلاعات می‌شود.

به قربانیان دستور داده می‌شود که برای دریافت دستورالعمل‌های پرداخت، از طریق ایمیل «doctorhelperss@gmail.com» یا «korona@bestkoronavirus.com» با مهاجمان تماس بگیرند. یک مهلت ۷۲ ساعته تعیین شده است که گفته می‌شود پس از آن مبلغ باج افزایش می‌یابد. این فوریت مصنوعی یک تاکتیک روانشناختی رایج است که برای کاهش تصمیم‌گیری منطقی و تسریع پرداخت در نظر گرفته شده است.

تأکید بر این نکته ضروری است که پرداخت باج، بازیابی اطلاعات را تضمین نمی‌کند. مهاجمان ممکن است ابزار رمزگشایی کارآمدی ارائه ندهند، درخواست پرداخت‌های اضافی کنند یا پس از دریافت وجه، کاملاً ناپدید شوند.

پایداری و ریسک جانبی

فعال نگه داشتن باج‌افزار روی یک سیستم آلوده، خطر را به میزان قابل توجهی افزایش می‌دهد. اگر به درستی حذف نشود، بدافزار ممکن است به رمزگذاری فایل‌های تازه ایجاد شده یا فایل‌هایی که قبلاً دست نخورده‌اند ادامه دهد. در محیط‌های شبکه‌ای، ممکن است تلاش کند تا به سیستم‌های متصل و منابع ذخیره‌سازی مشترک نیز گسترش یابد.

بنابراین، مهار و ریشه‌کنی، مراحل ضروری پس از تشخیص هستند. رمزگشایی ساده فایل‌ها، حتی در صورت امکان، بدون حذف بار مخرب، می‌تواند منجر به آلودگی مجدد و آسیب بیشتر شود.

ناقلین عفونت رایج

باج‌افزار نهایی، مانند بسیاری از خانواده‌های باج‌افزار مدرن، برای به حداکثر رساندن دسترسی، به تکنیک‌های توزیع متعددی متکی است. این تکنیک‌ها معمولاً شامل موارد زیر هستند:

• ایمیل‌های جعلی حاوی پیوست‌ها یا لینک‌های مخرب
• سوءاستفاده از آسیب‌پذیری‌های نرم‌افزاری اصلاح‌نشده
• کلاهبرداری‌های پشتیبانی فنی جعلی
• نرم‌افزارهای غیرقانونی، ابزارهای کرک و تولیدکننده‌های کلید
• شبکه‌های نظیر به نظیر و پلتفرم‌های دانلود غیررسمی
• تبلیغات مخرب و وب‌سایت‌های آلوده

این باج‌افزار اغلب در فایل‌های اجرایی، اسکریپت‌ها، بایگانی‌های فشرده یا فرمت‌های سند مانند فایل‌های Word، Excel یا PDF پنهان می‌شود. پس از باز شدن یا پس از تعامل بیشتر با کاربر مانند فعال کردن ماکروها، باج‌افزار اجرا شده و شروع به رمزگذاری داده‌ها می‌کند.

تقویت دفاع: بهترین شیوه‌های ضروری امنیت

دفاع مؤثر در برابر باج‌افزارهایی مانند End، نیازمند یک استراتژی امنیتی لایه‌بندی‌شده و پیشگیرانه است. اقدامات زیر احتمال و تأثیر آلودگی را به میزان قابل توجهی کاهش می‌دهد:

• از داده‌های حیاتی، پشتیبان‌گیری منظم، آفلاین و تغییرناپذیر داشته باشید. پشتیبان‌ها باید جدا از شبکه اصلی ذخیره شوند تا از رمزگذاری آنها توسط باج‌افزار نیز جلوگیری شود.
• وصله‌های امنیتی و به‌روزرسانی‌های نرم‌افزاری را فوراً روی سیستم‌عامل‌ها، برنامه‌ها و میان‌افزار اعمال کنید تا آسیب‌پذیری‌های قابل سوءاستفاده از بین بروند.
• از راهکارهای محافظت از نقاط پایانی معتبر و به‌روز که قادر به تشخیص رفتار باج‌افزار و مسدود کردن فعالیت‌های مشکوک هستند، استفاده کنید.
• ماکروها را به طور پیش‌فرض در برنامه‌های آفیس غیرفعال کنید و اجرای اسکریپت‌های غیرمجاز را محدود کنید.

• کنترل‌های دسترسی قوی و اصل حداقل امتیاز را برای محدود کردن مجوزهای کاربر و کاهش فرصت‌های حرکت جانبی پیاده‌سازی کنید.

• از احراز هویت چند عاملی برای سرویس‌های دسترسی از راه دور و حساب‌های کاربری مدیریتی استفاده کنید.

• آموزش‌های منظم آگاهی‌بخشی در مورد امنیت سایبری را برای کمک به کاربران در شناسایی ایمیل‌های فیشینگ، پیوست‌های مخرب و تلاش‌های مهندسی اجتماعی انجام دهید.

• فعالیت شبکه را برای یافتن موارد غیرعادی، از جمله تغییرات غیرمعمول فایل یا انتقال داده‌های خروجی، رصد کنید.

یک وضعیت امنیتی جامع، کنترل‌های فنی را با آموزش کاربر و اجرای مداوم سیاست‌ها ترکیب می‌کند. پیشگیری همیشه مقرون‌به‌صرفه‌تر و قابل اعتمادتر از بازیابی پس از حادثه است.

ارزیابی نهایی

باج‌افزار End نمایانگر یک تهدید پیچیده و خطرناک در خانواده MedusaLocker است. این باج‌افزار با ترکیب رمزگذاری قوی، استخراج داده‌ها و تاکتیک‌های فشار مبتنی بر زمان، نمونه‌ای از مدل باج‌افزار مدرن است که حول محور اخاذی مالی ساخته شده است.

سازمان‌ها و افراد باید بدانند که دفاع در برابر باج‌افزار یک ابزار یا اقدام واحد نیست، بلکه یک فرآیند مداوم است. محافظت پیشگیرانه، تشخیص سریع و واکنش منظم به حوادث، همچنان موثرترین استراتژی‌ها برای به حداقل رساندن آسیب و تضمین انعطاف‌پذیری عملیاتی در مواجهه با تهدیدات سایبری در حال تحول هستند.