‌باج‌افزار‌‌‌ در هفته‌ای که گذشت: هفته چهارم فروردین - تغییر تاکتیک

خلاصه: در هفته‌ای که تعداد کمی باج‌افزار جدید بودیم، شاهد تغییر تاکتیک چند باج‌افزار فعال به منظور گسترش فعالیت‌ها و افزایش سود بودیم. در هفته‌ای که هکرها درخواست باج چند ده میلیون دلاری نموده‌اند، یک هکر برای نوشتن باج‌افزار عذرخواهی نموده است!

تعداد نسخه‌های جدید باج‌افزارهای منتشر شده در این هفته زیاد نبود؛ ولی خبرهای جالبی درباره تغییر تاکتیک‌های باج‌افزارها برای سودآوری بیش‌تر و فرار از قانون منتشر شد.

باج‌افزار Sodinokibi در حال حذف پرداخت باج با بیت‌کوین و استفاده از رمزارز مونرو است تا ردیابی آن‌ها برای اجرای قانون سخت‌تر شود.

باج‌افزار Nemty در حال تغییر از باج‌افزار به عنوان سرویس به یک سرویس خصوصی است تا انحصار بیشتری داشته و بتواند وابسته‌های با تجربه‌تری را برای پیوستن به مجموعه خود جذب نماید.

همچنین باج‌افزار Ragnar Locker را مشاهده کردیم که شرکت پرتغالی EDP‌ را رمزگذاری کرده و گفته می‌شود 10 ترابایت داده را به سرقت برده است.

‌‌‌شنبه 23 فروردین (11 آوریل)

عدم دریافت بیت‌کوین به دلیل پنهان کردن جریان مالی باج‌افزار sodinokibi و استفاده از رمزارز مونرو

باج‌افزار sodinokibi به دلیل پنهان کردن جریان مالی خود دیگر بیت‌کوین دریافت نمی‌کند و به استفاده از رمزارز مونرو روی آورده است. این مساله دنبال کردن جریان مالی باج‌افزار و ایجاد مشکل در خرج کردن رمزارزها توسط سیستم‌های قانونی را سخت‌تر می‌کند.

یک‌شنبه 24 فروردین (12 آوریل)

بدافزار حذف کننده فایل جدید و جعل هویت دو محقق امنیتی

یک توزیع‌کننده بدافزار قبل از شروع ویندوز، رایانه‌های قربانیان را قفل می‌کند و بعد از آن شروع به سرزنش دو محقق مشهور و محترم امنیتی می‌کند!

عذرخواهی نویسنده باج‌افزار

نویسنده‌ی باج‌افزار KokoCrypt پس از ساخت باج‌افزار و انتشار آن اظهار پشیمانی و عذرخواهی کرد!

نسخه جدید باج‌افزار Golang

یک باج‌افزار جدید با پسوند .bug کشف شده که متن باج‌خواهی را در Read_Bug.html قرار می‌دهد.

دوشنبه 25 فروردین (13 آوریل)

کشف باج‌افزار جدید

مایکل گیلسپی یک باج‌افزار جدید پیدا کرد که شامل پسوند SARS-CoV-2. می‌باشد و متن باج‌خواهی را در RECOVER MY ENCRYPTED FILES.TXT قرار می‌دهد.

نسخه جدید DOP باج‌افزار Dharma

نسخه جدیدی از باج‌افزار جدید Dharma کشف شده که پسوند‌ه .dop را به فایل‌های رمزشده اضافه می‌کند.

سه‌شنبه 26 فروردین (14 آوریل)

درخواست 10 میلیون یورویی باج‌افزار RagnarLocker از غول انرژی EDP

مهاجمان با استفاده از باج‌افزار Ragnar Locker، سیستم غول انرژی چند ملیتی پرتغالی (EDP) را رمزگذاری کرده و هم اکنون خواهان باج 10 میلیون یورویی هستند.

باج‌افزارجدید Creepy

یک باج‌افزار Creepy کشف شده که پسوند creepy. را به فایل‌های رمزشده اضافه می‌کند.

نسخه جدید Lalo باج‌افزار STOP

مایکل گیلسپی یک نسخه جدید از باج‌افزار STOP کشف کرده که پسوند lalo. را به فایل‌های رمزشده اضافه می‌کند.

به‌روزرسانی رمزگشای Aurora

شرکت Emsisoft برای پشتیبانی از پسوند‌های .bukyak و .serpom رمزگشای Aurora را به‌روزرسانی کرد.

انتشار رمزگشای KokoCrypt

یک رمزگشا برای باج‌افزار KokoCrypt منتشر شد.

چهارشنبه 27 فروردین (15 آوریل)

توقف روند باج‌افزار Nemty به عنوان سرویس

باج‌افزار Nemty در حال متوقف کردن روند باج‌افزار به عنوان سرویس است و به صورت خصوصی فعالیت می‌کند تا بتواند همکاران خود را خود انتخاب کند!

پیام‌های نسخه جدید باج‌افزار Nemty برای محققان

نسخه جدید باج‌افزار Nemty 3.1 کشف شده که پیامی برای مایکل گیلسپی، MalwareHunterTeam و Amigo_A دارد!

نسخه جدید DEC باج‌افزار Dharma

نسخه جدیدی از باج‌افزار جدید Dharma کشف شده که پسوند‌ه .dec را به فایل‌های رمزشده اضافه می‌کند.

‌پنج‌شنبه 28 فروردین (16 آوریل)

نسخه‌ جدید باج‌افزار Balaclava

نسخه جدیدی از باج‌افزار Balaclava کشف شده که پسوند‌ه .KEY0004 را اضافه می‌کند و متن‌ باج‌خواهی را در HOW_TO_RECOVERY_FILES.txt قرار می‌دهد.

جمعه 29 فروردین (17 آوریل)

حمله سایبری به یک شرکت حسابداری MNP

یک شرکت حسابداری پیشرو در کانادا پس از برخورد با حمله سایبری در هفته گذشته، سیستم‌های خود را به طور گسترده تعطیل کرد.

باج‌افزار جدید Fidesz

یک باج‌افزار جدید در حال توسعه از مجارستان به نام Fidesz کشف شده است.

در صورتی که دچار حمله باج‌افزاری شدید، می‌توانید از راهنمایی‌های تیم کارشناسان مرکز تخصصی آپا بهره‌مند شوید.

در صورت نیاز با info@nsec.ir یا ۰۳۱۳۳۹۱۵۳۳۶ تماس بگیرید.