احمد باطبی
این روزها که انواع جهشیافته ویروس کرونا رو به گسترش است، بسیاری از بیمارستانها و مراکز بهداشتی در نقاط مختلف جهان علاوه بر جنگ در خط مقدم مبارزه با ویروس سمج کرونا، با پدیده باجافزارها و باجگیریهای اینترنتی نیز دست و پنجه نرم میکنند.
در تازهترین مورد از حملات باجافزاری تبهکاران اینترنتی، چندین بیمارستان مهم در شهرهای مختلف فرانسه در دام باجگیران افتادهاند و عملکرد عادی آنها با مشکلات جدی مواجه شده است.
مجموعه بیمارستانی «ویلفرانش سورسون» (Villefranche-sur-Saône) در بخش اداری شهر «لیون» فرانسه ساعت چهار و ۳۰ دقیقه روز دوشنبه پانزدهم فوریه ۲۰۲۱ به یک باجافزار خطرناک به نام «ریوک» (RYUK) آلوده شد. اگرچه تیم فنی این مجموعه بیمارستانی با استفاده از نسخههای پشتیبانی، مانع فراگیری بیش از پیش آلودگی شده و حمله این باجافزار را خنثی کردند اما بخش مدیریت جراحی با اخلال مواجه شدند و کارکنان این مجموعه به ناچار بیماران اورژانسی و نیازمند جراحی را به دیگر بیمارستانها انتقال دادند. این بیمارستان در بیانیهای اعلام کرده که این حمله باجافزاری اخیر عملکرد وبسایت مراکز درمانی «the Villefranche»، «Tarare» و «Trévoux» در بخش شمال غربی این مجموعه را با مشکل مواجه کرده است.
تیم فنی و خدماتی این بیمارستانها اقدامات محدودی را برای تبادل اطلاعات و خدمترسانی به بیماران انجام داد تا بحران ناشی از این حملات را کنترل کند. این اقدامات درحالی انجام شدند که این مراکز درمانی هم میبایست از نوزادان تازه متولد شده مراقب کنند وهم برنامه واکسیناسیون شهروندان علیه ویروس کرونا را به پیش ببرند.
کمتر از یک هفته پیش نیز بیمارستانی در شهر «داکس» در جنوب غربی فرانسه توسط باجافزار آلوده شد و به سختی خدمات درمانی خود را به حالت اول بازگرداند. در یک سال گذشته نیز بیمارستانهایی در شهرهای پاریس، «روئن»، «مونپلیه»، «ایسودون»، «آلبرتویل»، «موتیرز»، «تولون» و «ناربون» هدف حملاتی مشابه قرار گرفته بودند.
«آژانس ملی امنیت سیستمهای اطلاعاتی فرانسه» (ANSSI) که در مراحل تحقیق در خصوص این حملات مشارکت دارد، اعلام کرده است در بررسی این حملهها و چند حمله دیگر به سازمانهای مختلف، رد پایی از هکرهای روسی به چشم میخورد.
باجافزار ریوک ازجمله بدافزارهای شناخته شده با سطح خطر بالا محسوب میشود که پس از نفوذ به شبکه، از طریق رمزنگاری اطلاعات قربانی، سیستم آنها را آلوده و از کنترلشان خارج میکند.
این که دقیقا چه کسی گرداننده باجافزار «RYK ransomware» است، مشخص نیست. برخی بررسیها نشان از وابستگی این باجافزار به کشور ژاپن دارند. اما به دلیل این که معمولا بدافزارها پس از طراحی، بارها توسط هکرها و برنامهنویسان مختلف در سراسر دنیا بازنوسی شده و توسعه پیدا میکنند، نمیتوان گفت که گردانندگان کنونی آن ژاپنی هستند.
بررسیهای شرکت امنیتی «چک پوینت» (Check Point) نشان میدهند که این باجافزار شباهت زیادی به باجافزار «Hermes» دارد؛ تاجایی که به اعتقاد برخی کارشناسان، RYK ransomware نسخه توسعه یافته باجافزار Hermes است. شباهت عملکرد و ساختار کدنویسی این دو باجافزار حتی تا نسخههای جدید RYK ransomware نیز حفظ شده است.
پیشتر، شواهدی در خصوص ارتباط باجافزار Hermes با یکی از گروههای هکری کره شمالی بهنام «گروه لازاروس» (Lazarus Group) به دست آمده بود. این گروه هکری ازجمله گروههای تهدید مستمر «APT» به شمار میآید.
جدا از این موضوع، باجافزار Hermes در بسته باجافزاری «هرمس» نیز وجود دارد. بسته باجافزاری هرمس، مجموعهای از امکانات باجگیری اینترنتی است که توسط مجرمان اینترنتی در بازارهای زیرزمینی به فروش میرسد. تحقیقات شرکتهای متعددی همچون «FireEye»، «CrowdStrike»، «Kryptos Logic» و «McAfee» ردپای هکرهای روسی در بسته باجافزاری هرمس را نشان میدهند.
براساس این تحقیقات، «Wizard Spider» و «CryptoTech»، دو گروه هکری شناخته شده روسی با ضریب اطمینان بالا پشت پرده بسته باجافزاری هرمس هستند. گروه Wizard Spider عامل گرداننده «تروجان» معروف به «TrickBot» بود و CryptoTech نیز گروهی بود که سال ۲۰۱۸، مبلغ ۵۸.۵ میلیون دلار را در یک بانکزنی سایبری از بانک بینالمللی خاور دور در تایوان به سرقت برد.
تروجانها برنامههای مخربی هستند که به شکل یک نرمافزار جالب به نظر میرسند.
باوجود این اطلاعات پراکنده، مشکل است که بتوان باجافزار RYK ransomware را به یک دولت خاص نسبت داد. اما بعید نیست که دولت و یا دولتهایی از این باجافزار برای اهداف خود استفاده کنند.
نسخه جدید باجافزار ریوک با تغییراتی، RYK ransomware نام دارد که ضمن رمزنگاری فایلها و اطلاعات قربانی با پسوند «RYK»، موضوع آلودگی سیستم و نحوه پرداخت باج را در یک فایل متنی تحت عنوان «RyukReadMe.txt»، به قربانی اطلاع میدهد. این باجافزار از الگوریتم «RSA-4096» و «AES-256» برای رمزنگاری بهره میبرد و به هر قربانی چند کلید منحصر به فرد برای رهاسازی اطلاعات ارایه میکند. این کلیدها در یک سرور در راهی دور ذخیره و تنها از طریق ایمیل و پس از پرداخت باج به قربانی ارسال میشوند. میزان باج درخواستی، رقمی ثابت نیست. اما به طور معمول، چیزی در حدود سههزار و ۲۰۰ دلار امریکا، به صورت پول اینترنتی «بیتکوین» از قربانی طلب میشود.
این باجافزار اساسا با هدف آلودهسازی گروهی کامپیوترها در یک شبکه و یا مجموعه طراحی شده است. تجربه نشان داده است که بازیگران پشت پرده این باجافزار همیشه بعد از پرداخت ملبغ درخواستی، اقدام به رهاسازی اطلاعات آنها نمیکنند. متاسفانه هیچ راهی برای شکستن رمزهای نوع «AES» و «RSA» این باجافزار نبوده و تنها راه نجات و بازپس گیری اطلاعات، تهیه منظم نسخه پشتیبان و جایگزینی آن با نسخه رمزنگاری شده است. تصویر زیر متنی را نشان میدهد که این باجافزار از طریق فایل (RyukReadMe.txt) به قربانی ارایه میکند.
باجافزار RYK ransomware از جهات مختلف به دیگر باجافزارهای شناخته شده شباهت دارد. اساسا همه باج افزارها شبیه هم هستند. تنها تفاوت عمده آنها، در مبلغ باج درخواستی و الگوریتمی است که با آن اطلاعات قربانی را رمزنگاری و قفل میکنند.
گردانندگان این باجافزار از راههای مختلف همچون تروجانها، ایمیل، شبکههایی نظیر «P2P»، منابع غیررسمی ارایه کننده نرمافزار، سایتهای دانلود رایگان، به روز رسانیهای جعلی و شیوههایی از این دست، قربانی را گرفتار دام خود میکنند.
کارشناسان توصیه کردهاند سیستم مربوط به پشتیبانگیری و نسخههای پشتیبان ذخیره شده را به هرشکل ممکن از محل آلودگی دور نگه داشته و یا بهکلی آن را از برق جدا کنند. چون این باجافزار قادر است نسخههای پشتبان سیستم و شبکه را به همراه فایلهای جانبی آن آلوده و آن را رمزنگاری کند. این باجافزار همچنین این توانایی را داشت که در یک شبکه «LAN» حرکت و درایوهای متصل به شبکه و حتی سیستمهای خواب و یا در انتظار کار و حتی سیستمعاملهای «لینوکس»، «یونیکس» و «مک» متصل به شبکه را نیز آلوده کند.
درماه ژانویه سال ۲۰۲۰ نیز نسخهای از باجافزار RYK ransomware قادر بود اطلاعات فایلهای «ورد» و «اکسل» را پیش از رمزنگاری، سرقت کند. این نسخه از بدافزار حتی میتوانست فایلهای تصویری و یا فایلهای مرتبط با رمز ارزها را اسکن و در صورت یافتن رشتههای مورد نظر، آنها را به سرور گردانندگان باجافزار منتقل کند.
بزرگترین عامل گرفتار شدن به باجافزار RYK ransomware، مانند هر باجافزار دیگری، فقدان دانش فنی و رفتارهای پرخطر در اینترنت، مقل بازکردن ایمیل و فایلهای ارسالی از افراد و منابع ناشناس، دانلود فایلها و نرمافزارهای مجانی و یا کرک شده از منابع ارایه کننده نامطمئن و مواردی از این دست است. به روز نگه داشتن سیستم عامل از طریق دانلود مستقیم بستههای به روزرسانی از وبسایت تولید کننده سیستم عامل و همچنین استفاده از آنتی ویروسهای اورجینال و به روز شده میتواند تا حد زیادی از گرفتار شدن به دام باجافزارها جلوگیری کند.
از بخش پاسخگویی دیدن کنید
در این بخش ایران وایر میتوانید با مسوولان تماس بگیرید و کارزار خود را برای مشکلات مختلف راهاندازی کنید
ثبت نظر