به یاد دارید آخرین مرتبه ای که باج افزار در اوکراین خود را نمایش داد؟ این کار با هک یک شرکت نرم افزاری شناخته شده با نام MeDoc آغاز شد که ابزارهای آن با NotPetya strain از باج افزاری که در نهایت در سراسر جهان پخش شد، به شرکت های بزرگ مانند Maersk و FedEx گسترش یافت. در حال حاضر هکرها دوباره از کدهای باج افزار Petya قرض گرفته اند و با آن به سازمان های جهانی حمله می کنند.

اما این بار آنها تعدادی از رسانه های خبری روسی و دیگر وب سایت ها را برای گسترش آنچه که به نظر می رسد یک باج افزار جدید، به نام Bad Rabbit، انتخاب کرده اند. که از یک سایت در وب سیاه منتشر شده و کلاهبرداران در آن خواستار پرداخت برای باز کردن کامپیوتر قربانی هستند.

به گزارش رسانه های محلی، قربانیان اولیه شامل خدمات مترو کیِف و همچنین سازمان های رسانه ای روسیه Interfax بوده اند که سه شنبه انتشار آن را از طریق فیس بوک خود و در حالی که سایتشان غیرقابل دسترس بود اعلام کردند، و Fontanka.ru، که به Forbes از طریق شرکت امنیتی روسی به نام Group-IB گزارش شده است. تیم واکنش اضطراری رایانه ای اوکراین گفت که فرودگاه اودسا همچنین مورد حمله قرار گرفت، همانطور که هشدار داد “احتمال شروع یک موج جدید از حملات سایبری به منابع اطلاعاتی اوکراین”، در حالی که بخش های مالی و زیرساخت های اوکراین هدف قرار گرفته است.

قربانیان به یک وب سایت به نام Bad Rabbit در شبکه Tor هدایت می شوند. از آنها خواسته می شود تا 0.05 بیت کوین (حدودا 286.20 دلار در زمان انتشار) بپردازند تا فایل هایشان باز شود.

طبق گزارش Kaspersky Lab و Group-IB، این حمله ها به دلیل بازدید از سایتهای رسانه ای خاصی از روسیه منتشر شده است که از طریق آن یک نرم افزار جعلی Adobe Flash Player منتشر شده است. کاربر باید بر روی یک لینک مخرب کلیک کند تا آلوده شود. Kaspersky گفت که تقریبا 200 هدف مشخص را شناسایی کرده است، هرچند اطلاعات بیشتری از آنها ارائه نکرده است. Costin Raiu، رئیس گروه تحقیقاتی شرکت روسی، گفت که مهاجمان از ماه ژوئیه به وب سایت های مختلف اروپا وارد شده اند، در حالی که Group-IB اعلام کرد وبسایت های هک شده اخیرا در روز 19 اکتبر آلوده شده اند.

محقق Lukas Stefanko، از شعبه چک شرکت ESET، ابتدا در توییتر اعلام کرد که این بدافزار، یکبار در یک رایانه، از آسیب پذیری EternalBlueکه از فایلهای Shadow Broker بوده، استفاده کرده است (به نظر میرسد توسط NSA برای حمله به رایانه های ویندوزی نوشته شده است). Forbes تا به حال تایید کرده است که این مورد نیست. هکرها از ویژگی ویندوز SMB همانند EternalBlue استفاده کردند، اما به شیوه ای متفاوت و مخرب. آنها همچنین از آسیب پذیری WebDAV، توسعه دهندگان انتشار وب سایت و نسخه های وب در پروتکل انتقال پیام (HTTP) استفاده می کنند که امکان ویرایش همگانی بین کاربران را در یک شبکه فراهم می کند. و در وبلاگ ESET گزارش شده که از ابزار Mimikatz برای غلبه بر گذرواژه ها در سیستم های آسیب دیده استفاده می شود تا مهاجمان بتوانند در شبکه های قربانی به سیستم های دیگر نیز نفود کنند. همه این تکنیک ها با همکاری نرم افزارهای مخرب گسترش خودکار بدافزار را در پی داشته است.

هنگامی که EternalBlue توسط WannaCry و باج افزارNotPetya استفاده می شد، به سرعت به گسترش تروجان در شبکه ها کمک کرد. این برنامه EternalBlue توسط یک گروه هکر مرموز به نام Shadow Brokers در اوایل سال جاری منتشر شد و اعتقاد بر این بود که توسط NSA توسعه یافته است.

لینک های جذاب

در حال حاضر، این حمله همانند NotPetya و WannaCry به سرعت شیوع پیدا نخواهد کرد. کشورهایی که رایانه های آلوده در آنها یافت شده اند شامل روسیه، اوکراین، آلمان، ترکیه، بلغارستان، لهستان و کره جنوبی می باشد.

Vyacheslav Zakorzhevsky، رئیس تیم تحقیق ضد تروجان در آزمایشگاه کسپرسکی، ادعا می کند که اهداف را در آلمان نیز دیده است، گفت:” بر اساس اطلاعات ما، بیشتر قربانیان هدف این حملات در روسیه قرار دارند. “

او افزود:” بر اساس تحقیقات ما، این یک حکمه مشخص به شبکه های بزرگ بوده است، که از روش های مشابه در حمله NotPetya استفاده می کند. اگرچه نمی توانیم تایید کنیم که ارتباطی بین این حملات وجود داشته است.”

اما پس از آن، Raiu از Kasperskyبه Forbes گفت یک ارتباط وجود دارد. او اظهار داشت که در اوایل امسال Kaspersky یک وب سایت خبری در اوکراین پیدا نموده که NotPetya ار گسترش می داده است (bahmut.com.ua) او توضیح داد “ما مسیر را دنبال کردیم و شبکه ای از سایت های هک شده دیگر را پیدا کردیم که به همان شیوه کار می کردند، به جز آنکه آنها در ماه ژوئیه هیچ چیزی را منتشر نمی کردند. بعضی از مدتی اسکریپت های تزریقی در همه این سایت ها به یک IP جدید تغییر یافتند و امروز توزیع Bad Rabbit را آغاز کرده اند.“

Group-IB همچنین ادعا کرد که یک تکه کد Bad Rabbit – یک الگوریتم فرآیند ساده – تقریبا دقیقا همانند NotPetya بود. سخنگوی این شرکت Eugeny Gukov گفت: “تفاوت تنها در بردار اولیه و استفاده از کامپایلر است.”

با توجه به اینکه پیوندهای بین NotPetya و هکرها که در سالهای 2015 و 2016 شبکه برق اوکراین را از مدار خارج کردند (که ادعا می شود به طور گسترده تحت حمایت مالی دولت روسیه بوده اند)، به یک وضعیت تاریک و مبهم تبدیل شده است.