محققان امنیتی متوجه شدند که کارگزار دستور و کنترل باج‌افزار CryptoBlock، برای میزبانی گواهی‌نامه‌های به سرقت‌رفته از کاربران و همچنین بدافزارهای دیگر نیز مورد استفاده قرار می‌گیرد. محققان Malwarebytes تلاش داشتند به این کارگزار دستور و کنترل دسترسی یابند. آن‌ها متوجه شدند این باج‌افزار در حال حاضر در مرحله‌ی توسعه است ولی این پتانسیل را دارد که به تهدیدی بزرگ تبدیل شود. محققان معتقدند مهاجمان می‌توانند از این بدافزار در قالب «باج‌افزار به‌عنوان سرویس» استفاده کنند.

با یادداشتی که در پرونده‌ی fliecrypter.in مشاهده شده، محققان متوجه شدند «باج‌افزار به‌عنوان سرویس» به زودی در راه است ولی مشاهده شده برخی از سامانه‌ها به این بدافزار آلوده شده‌اند. محققان می‌گویند این باج‌افزار با استفاده از ConfuserEX مبهم‌سازی شده و به‌راحتی نمی‌توان دستورات استفاده‌شده در آن را متوجه شد.

محققان در تحقیق قبلی خود به کارگزار دستور و کنترل این باج‌افزار دست یافته بودند و تصمیم گرفتند آن را بیشتر تحلیل و بررسی کنند. در بین پرونده‌های .php پرونده‌ای با نام config.php مشاهده کردند که در این پرونده، گواهی‌نامه‌های ورود نفوذگران به این کارگزار وجود داشت. با استفاده از این نام کاربری و گذرواژه، محققان توانستند به کارگزار باج‌افزار CryptoBlock وارد شوند و به تمامی رایانامه‌ها و پایگاه داده‌ها بر روی آن دست یابند.

در ادامه کارشناسان توانستند به کارگزارهای خارجی این نفوذگران نیز دست یافته و تمامی داده‌های موجود بر روی آن را رونویسی کنند. به‌خاطر اینکه سرویس میزبانی که نفوذگران از آن استفاده می‌کردند برای ثبت‌نام صرفاً به یک آدرس رایانامه نیاز داشت و رایانامه‌ای که مهاجمان ارائه کرده بودند جعلی بود، کارشناسان نتوانستند به اطلاعات جزئی‌تری در مورد نفوذگران دست یابند.

رکوردهای ثبت‌شده بر روی کارگزار نشان داد که این باج‌افزار در مرحله‌ی توسعه قرار دارد و تعداد اندکی از قربانیان را هدف قرار داده است. در این رکوردها تعداد محدودی آدرس IP مشاهده می‌شود و محققان معتقدند این آدرس‌ها می‌تواند متعلق به نویسندگان باج‌افزار باشد که می‌خواستند آن را آزمایش کنند. تعداد زیادی از پرونده‌ها که بر روی کارگزار موجود است، پرونده‌های PHP هستند که بیشتر به منظور عیب‌یابی مورد استفاده قرار می‌گرفتند.

به‌نظر می‌رسد این کارگزار برای میزبانی گواهی‌نامه‌های به سرقت‌رفته از وب‌گاه‌های پورنوگرافی و اطلاعات قربانیان باج‌افزار مورد استفاده قرار گرفته بود. همچنین کارشناسان اعلام کردند بر روی این کارگزار، بدافزارهای دیگری نیز میزبانی شده و توزیع می‌شد.

منبع: asis

درباره نماد امن

کانال اخبار فناوری اطلاعات نماد امن

“نماد امن” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.

محققان کارگزار دستور و کنترل باج‌افزار CryptoBlock را کشف و بررسی کردند

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *