کد خبر: ۴۹۱

باج‌افزار Spirals شناسایی شد؛ حمله‌ای که در کمتر از ۲۴ ساعت یک شبکه را از کار انداخت

باج افزار

سیمانتک از شناسایی باج‌افزار جدید Spirals خبر داد؛ بدافزاری که در کمتر از ۲۴ ساعت اطلاعات یک سازمان را سرقت و تمامی سامانه‌های آن را رمزگذاری کرد.

هانا حیدری
خبرنگار:
هانا حیدری

به گزارش هلپ نت سکیوریتی، پژوهشگران امنیتی شرکت سیمانتک از شناسایی باج‌افزار جدیدی با نام Spirals خبر داده‌اند؛ بدافزاری که در یکی از حملات اخیر، تنها در کمتر از ۲۴ ساعت پس از نفوذ اولیه موفق شد اطلاعات یک شرکت خدمات فناوری اطلاعات در جنوب آسیا را سرقت کرده و تمامی سامانه‌های آن را رمزگذاری کند. به گفته محققان، سرعت بالای اجرای عملیات و استفاده از تکنیک‌های پیشرفته، باج‌افزار Spirals را به یکی از تهدیدهای نوظهور برای سازمان‌ها تبدیل کرده است.

باج‌افزار Spirals چگونه عمل می‌کند؟

تیم Threat Hunter شرکت سیمانتک اعلام کرد باج‌افزار Spirals ماه گذشته در حمله به یک شرکت ارائه‌دهنده خدمات فناوری اطلاعات در جنوب آسیا مورد استفاده قرار گرفت. بررسی‌ها نشان می‌دهد مهاجمان از زمان دسترسی اولیه تا سرقت اطلاعات و رمزگذاری کامل شبکه، کمتر از ۲۴ ساعت زمان صرف کرده‌اند؛ روندی که بیانگر افزایش سرعت و پیچیدگی حملات باج‌افزاری در سال‌های اخیر است.

براساس گزارش سیمانتک، Spirals با زبان برنامه‌نویسی Rust توسعه یافته و برای رمزگذاری هر فایل از یک کلید اختصاصی AES-128 استفاده می‌کند. این کلیدها نیز با استفاده از کلید عمومی ECDH P-256 محافظت می‌شوند. همچنین برای افزایش سرعت عملیات، فایل‌های بزرگ‌تر از پنج مگابایت به‌صورت بخش‌بندی‌شده رمزگذاری می‌شوند.

پس از پایان فرآیند رمزگذاری، فایل یادداشتی با نام RECOVERY_SECTION.log روی سیستم‌های قربانی ایجاد می‌شود. در این پیام، قربانیان به یک وب‌سایت مبتنی بر شبکه Tor هدایت شده و تهدید می‌شوند در صورت پرداخت نکردن باج، اطلاعات سرقت‌شده ظرف شش روز منتشر خواهد شد.

مهاجمان چگونه به شبکه نفوذ کردند؟

بررسی‌های سیمانتک نشان می‌دهد مهاجمان ابتدا با سوءاستفاده از یک سرور Microsoft IIS متصل به اینترنت و بارگذاری یک وب‌شل ASP.NET وارد شبکه شدند. سپس با اجرای دستورات از طریق پردازش IIS، یک نشست تعاملی ایجاد کرده، با دور زدن مکانیزم User Account Control (UAC) سطح دسترسی خود را افزایش دادند، قابلیت Remote Desktop Protocol (RDP) را فعال کردند و برای حفظ دسترسی، یک حساب کاربری محلی ایجاد کردند.

در ادامه، عاملان حمله با استخراج پایگاه Security Account Manager (SAM) اطلاعات احراز هویت را جمع‌آوری کرده و در جریان حرکت جانبی، حافظه فرایند LSASS را روی چندین سیستم تخلیه کردند تا به اطلاعات حساب‌های کاربری دسترسی پیدا کنند.

استفاده از ابزارهای قانونی برای پنهان‌سازی حمله

مهاجمان برای حفظ ارتباط با شبکه آلوده، یک پراکسی معکوس SOCKS، نسخه‌ای تغییرنام‌یافته از ابزار Chisel با نام chrome.exe و همچنین یک Cloudflare Tunnel راه‌اندازی کردند. به گفته محققان، برخی ابزارهای مورد استفاده نیز با پسوند .jpg روی سرورهای خارجی میزبانی شده بودند تا از روش‌های ساده تشخیص فایل عبور کنند.

در مرحله بعد، مهاجمان با استفاده از ابزار PsExec و با سطح دسترسی SYSTEM، یک اسکریپت PowerShell را روی تعداد زیادی از رایانه‌های شبکه اجرا کردند. این فایل با نام bitsadmin.exe ذخیره شده بود تا خود را به‌عنوان یکی از ابزارهای قانونی ویندوز معرفی کند.

پیش از آغاز رمزگذاری، باج‌افزار Spirals نرم‌افزار Microsoft Defender را غیرفعال کرده و سرویس‌های مرتبط با ۲۳ محصول پشتیبان‌گیری، پایگاه داده و مجازی‌سازی، از جمله Veeam، VMware، Hyper-V، Microsoft SQL Server، Oracle و PostgreSQL را متوقف کرده است تا مانعی برای رمزگذاری فایل‌ها وجود نداشته باشد.

هشدار سیمانتک درباره باج‌افزار Spirals

سیمانتک اعلام کرده است که تاکنون باج‌افزار Spirals تنها در یک حمله مشاهده شده، اما توانایی‌های فنی، سرعت بالای اجرای عملیات و روش‌های پنهان‌سازی آن نشان می‌دهد عاملان این بدافزار از مهارت بالایی برخوردار هستند و احتمال دارد در آینده حملات گسترده‌تری را علیه سازمان‌ها انجام دهند.

این شرکت همچنین شاخص‌های نفوذ (IoCs) مرتبط با این حمله را منتشر کرده و از سازمان‌ها خواسته است با بررسی زیرساخت‌های خود، هرگونه نشانه احتمالی از فعالیت باج‌افزار Spirals را شناسایی و برای مقابله با آن اقدام کنند.

 

گزارش خطا
ارسال پیام
captcha
پیشنهاد سردبیر بیشتر
آخرین اخبار
پربازدید
خانه پربازدید پربحث