مجرمان سایبری حس شوخ طبعی دارند و از Brexit الهام گرفته می شوند. محققان امنیتی در Varonis نوع جدیدی از باج افزار را شناسایی می کنند که پرونده ها را با پسوند رمزگذاری می کند. . SaveTheQueen . Trojan رمزنگاری به پوشه SYSVOL کنترل کننده دامنه حمله می کند.
Ransomware از نسخه SYSVOL در یک کنترلر دامنه استفاده می کند
مهاجمان از نسخه SYSVOL در یک کنترل کننده دامنه قربانی استفاده می کنند تا بدافزار گسترش یابد و بتوانند پیشرفت انتشار دامنه را ردیابی کنند.
به گفته کارشناسان ، استفاده از کنترل کننده دامنه آسیب دیده (برای توزیع بدافزار) و PowerShell (برای باز کردن و راه اندازی بدافزار) به این معنی است که نسل جدید Trojan برای نابودی کل زیرساخت های شرکت ها در نظر گرفته شده است. به نظر می رسد این پرسودترین استراتژی برای مجرمان سایبری است زیرا دسترسی به یک حساب سرپرست دامنه روش های دیگری برای حمله به آنها ، مانند رمزگذاری داده ها یا سرقت داده ها نیز دارد.
SYSVOL پوشه مرکزی در هر کنترل کننده دامنه است که برای اجرای خط مشی (GPO) و اسکریپت های ورود به سیستم در ایستگاه های کاری دامنه استفاده می شود. محتویات پوشه SYSVOL برای هماهنگ سازی داده ها بین کنترلر دامنه تکرار می شود. صرفه جویی در SYSVOL به مجوزهای دامنه کافی نیاز دارد. اما اگر این موارد نقض شود ، یک ابزار قدرتمند برای مهاجمین است که می توانند از آن استفاده کنند تا به سرعت محتوای مخرب را در کل دامنه پخش کنند. در نتیجه ، کنترل حساب مدیر دامنه فعالیتهای مختلف جنایی به مهاجمان می دهد. آنها همچنین می توانند اطلاعاتی ارزشمند را جستجو کرده یا منابع شرکت را برای معدن ارزهای رمزگذاری شده تصاحب کنند.
در حالی که باج افزار واقعی نسبتاً متعارف عمل می کند ، نویسندگان بدافزار از Active Directory به روشی خلاقانه برای پخش قطره استفاده می کنند. از این نظر ، این Trojan رمزگذاری جدید ، پتانسیل خطر قابل توجهی را نشان می دهد و مشاهدات اخیر را نشان می دهد که باج افزار پیشرفته تر شده است. اطلاعات بیشتر در مورد بدافزار را می توان در این پست وبلاگ یافت.
