در اواخر نیمه اول سال 2019 ، مرکز گزارشگری و تجزیه و تحلیل ارائه اطلاعات (ملانیا) متوجه رشد سریع باج افزار شد که به باج نیاز دارد. از ماه مه سال 2019 ، یک تهدید قابل توجه به نام "MegaCortex" وجود دارد ، یک باج افزار است که در ابتدا خطر آن کم است. با این حال ، تعداد موارد این تهدید همراه با نفوذ به شبکه ها و سیستم های شرکتی به سرعت در حال رشد است. اول از همه ، تمام داده های موجود در سیستم رمزگذاری شده و صاحبان داده مجبور به پرداخت باج می شوند.
توزیع سریع نرم افزارهای مخرب
هنگامی که MegaCortex به سیستم رسید و تمام پرونده های ذخیره شده در آنجا را برای مالک رمزگذاری کرد ، مالک هیچ دسترسی بیشتری ندارد. اکنون ، مهاجمان از ناامیدی قربانیان خود بهره می گیرند و سعی می کنند با فشار و خرابی صدمات بیشتری وارد کنند. به کاربران توصیه می شود تمام داده های خود را "دوباره پس انداز کنند". این کار با خرید نرم افزار رمزگشایی به طور مستقیم از مجرمان سایبری انجام می شود. دستورالعمل های مجرمان سایبری نیز حاکی از آن است که خرید نرم افزار رمزگشایی تضمین می کند که به قربانی حمله نمی شود. باقیمانده باید دید چقدر چنین اطلاعاتی قابل اطمینان است.
سازندگان MegaCortex طرفداران ماتریکس هستند
با توجه به نامی که توسط مجرمان سایبری به عنوان "MegaCortex" برای باج افزار انتخاب شده است ، فرض بر این است که سازندگان این حمله طرفداران ماتریکس فیلم هستند. در قسمت اول ، شخصیت اصلی فیلم در شرکتی به نام "MetaCortex" کار کرد. شباهت های بیشتر را می توان در طول حمله یافت ، به عنوان مثال در جمله یادداشت باج. همچنین با سایر حملات شناخته شده مانند Emotet و Qbot رابطه عجیبی برقرار است. پیش از این در مورد تهدید Emotet اطلاع داده بودیم. براساس گفته های سوفوس ، دو تهدید Emotet و Qbot نیز در شبکه هایی که از MegaCortex در معرض خطر بودند ، یافت شد. این امر به این فرض منجر می شود كه MegaCortex فقط با كمك این حملات بدافزار قابل نفوذ به سیستم ها است و همچنین مسئول این تهدید جدید است.
هشدارهای پلیس زوریخ
در این میان ، مقامات نیز متوجه تهدید و پیامدهای MegaCortex شدند. پلیس کانتون زوریخ در ژوئیه سال 2019 به باج افزار حمله کرد. یکی به ویژه از افزایش تعداد حملات به شرکت ها نگران است. علاوه بر این ، در حملات به شرکت های بزرگ و متوسط - به ویژه ماهیت مالی ، خسارات زیادی دیده می شود. پلیس زوریخ هشدار وی را با وضوح بیان کرد: ایمیل های مشکوک را باز نکنید ، به خصوص آنهایی که حاوی پیوند یا پیوست هستند. سرانجام ، پلیس کانتون دستورالعمل داد که فوراً در مورد حملات اطلاع رسانی شود ، نه اینکه ابتدا در را باز کنید.
MegaCortex هنوز در حال توسعه است
در ابتدا ، هیچ کس انتظار نسخه جدید باج افزار MegaCortex را نداشت و با این وجود در نوامبر 2019 به نمایش درآمد. علاوه بر برخی وب سایت ها ، FBI خطرات نسخه حتی تهاجمی را تشخیص داد و اخطار داد. حمله به نسخه های جدید به این شکل است:
پس از دسترسی MegaCortex به سیستم های شخص ثالث ، مهاجم در شبکه شرکت ها ساکت است ، احتمالاً همه وقایع را مشاهده می کند و داده های جالب توجهی را جمع می کند. حمله فقط زمانی شروع می شود که سیستم برای اخاذی جذاب باشد. مجرمان تمام داده های ذخیره شده را رمزگذاری می کنند ، اکنون رمزعبورها را نیز تغییر می دهند و بنابراین کاربران را از سیستم خود کاملاً مسدود می کنند. منبع دیگر درآمد ، توزیع نرم افزار رمزگشایی اختصاصی به قربانیان است.
آنچه در پس MegaCortex
نهفته است] MegaCortex به ویژه به دلیل توسعه سریع آن بسیار چشمگیر است. بنابراین ، این باج افزار چهار نسخه مختلف را در یک سال دریافت کرد. به منظور توجه نکردن در هنگام بررسی های امنیتی ، MegaCortex از گواهی های جعلی برای امضای کد استفاده می کند. هر پرونده باینری MegaCortex حاوی یک گواهی امضا است که بدون آن برخی از دستگاه های ویندوز حتی قادر به اجرای کد نیستند.
نحوه حمایت از شرکت:
MegaCortex خطرناک است – هنوز مشخص نیست که مهاجمین با چه کاری انجام داده اند ، شما می خواهید داده های دزدیده شده را به سرقت ببرید. به نظر می رسد که به سادگی فروش آنها "بهترین مورد" است. MegaCortex به طور مداوم در حال تحول است و بنابراین متوقف کردن آن دشوار به نظر می رسد. در بهترین حالت ، باید از حمله در امان بمانید تا از آسیب های مالی و تهدیدات مجرمان سایبری جلوگیری کنید. FBI اقداماتی را انجام داده است كه می توانید برای محافظت از خود در برابر MegaCortex انجام دهید. ما نمی خواهیم آن را از شما مخفی کنیم.
اقدامات حفاظتی برای مقابله با تهدید
مهمترین توصیه FBI شامل تهیه نسخه پشتیبان از داده ها است. از داده های آفلاین در فواصل منظم نسخه پشتیبان تهیه کنید. با تشکر از این اقدامات مستمر ، حمله MegaCortex می تواند خسارت بسیار کمتری وارد کند ، در پایان می توانید تمام داده های خودتان را بازیابی کنید. علاوه بر این ، توصیه می شود که همیشه دستگاه های شرکت را به روز کنید. همیشه از آخرین نسخه های سیستم عامل ها و برنامه ها و همچنین آخرین نسخه PowerShell استفاده کنید. چگونه از آسیب پذیری جلوگیری کنیم.
به طور دوره ای تمام گزارش های ارتباط از راه دور را بررسی کنید تا مشخص کنید آیا مهاجمان به شبکه شما دسترسی دارند یا خیر. در صورت دسترسی به مهاجم ، می توانید این مرحله را در مراحل اولیه تشخیص دهید.
از یک خط مشی سخت گذرواژه استفاده کنید و به همه کارمندان آموزش دهید تا رمزهای ایمن ایجاد کنند. همچنین از احراز هویت دو عاملی استفاده کنید. البته باید حسابهای تازه ایجاد شده ، Active Directory یا تغییرات در گروه های مدیریتی نیز مرتباً بررسی شوند.
همه درگاه های باز باید مسدود شده و پروتکل SMBv1 غیرفعال شود.
اگر این دستورالعمل ها را رعایت کنید ، برای حمله هایی مانند MegaCortex آماده هستید. دانش عمیق از حملات همچنین به شما کمک می کند. بنابراین در آخرین اخبار در مورد حملات به روز باشید زیرا آنها به سرعت در حال رشد هستند.
