نفوذ باج افزار cuteRansomware در برنامه‌های تحت Cloud

0
291
باج افزار CuteRansomware

به تازگی مجموعه‌ی جدید از بدافزارها (Malware) و از نوع باج افزار (Ransomware) با نام cuteRansomware شناسایی ‌شده‌اند که با استفاده از Google Docs فعال می‌شوند تا کلید رمزگشایی (Decryption Key) و عملکرد دستور و کنترل (Command-and-Control) را در آن مدیریت کنند.

این بدافزار زمانی توسط تیم تحقیق Netskope شناسایی شد که آنها متوجه شدند‌ یک کاربر با نام کاربری “aaaddress1” مختص به GitHub که یک محیط اشتراکی جهت برنامه‌نویسی را در اختیار کاربران قرار می‌دهد،کد اصلی یک ماژول باج‌افزاری بر اساس #C به‌ نام my-Little-Ransomware را منتشر نموده است. همچنین یکی از محققان امنیتی AVG نیز نسخه‌ی چینی اصلاح‌شده‌ ی my-Little-Ransomware را شناسایی نموده و به دلیل نامگذاری مولف اصلی، آن را تحت عنوان cuteRansomware معرفی نمود.

اگرچه به‌نظر می‌رسید این باج‌افزار بسیار ابتدایی می‌باشد و با ایجاد تغییراتی در کد اصلی my-Little-Ransomware ایجاد شده باشد، اما استفاده از سرویس‌های Cloud مانند Google Docs می‌تواند در آینده‌ای نزدیک به عنوان اهداف و مقاصدAttacker‌ها جهت استفاده از سرویس‌های Cloud مورد سوء استفاده قرار گیرند. در واقع، آنها از سرویس‌های Cloud فقط برای ذخیره‌سازی کلیدها استفاده نمی‌نمایند، بلکه برای ارتباطات (Command-and-Control (C&C نیز از آن بهره می‌گیرند.

Netskope در تحلیلی اعلام نمود، با توجه به اینکه Google Docs  به‌صورت پیش‌فرض از HTTPS استفاده می‌نماید و انتقال داده‌های شبکه‌ بر روی SSL به‌راحتی از راهکارهای امنیتی سنتی مانند Firewall، سیستم جلوگیری از نفوذ (IPS) یا فایروال‌های نسل بعدی عبور می‌نماید، و اعتقاد این شرکت بر این است که موضوع این نوع باج افزارها از اهمیت بیشتری برخوردار است. همانطور که عوامل مخرب بیش از پیش از Cloud برای ارائه بدافزار و سرقت اطلاعات از طریق Command-and-Control بهره می‌گیرند، عدم وجود قابلیت دید نسبت به SSL در ابزارهای شناسایی سنتی نیز مزایای بسیاری را برای آنها به همراه دارد. به‌علاوه، عدم توانایی ابزارهای سنتی در بررسی ترافیک SSL مربوط به برنامه‌های غیرمجاز که استفاده از آنها با ریسک افشای یا نشت اطلاعات همراه است، اهمیت می‌یابد.

‌علاوه بر این، استفاده از برنامه‌های پرطرفدار Cloud مانند Google Docs چالش دیگری را هم به دنبال دارد. سازمان‌هایی که از Google Docs به‌عنوان ابزار بهره‌وری استفاده می‌نمایند، مسدود نمودن فوری آن تقریبا غیرممکن است.

Travis Smith، مهندس ارشد تحقیقات امنیتی Tripwire اظهار نمود: نکته‌ای که cuteRansomware را  جذاب می کند استفاده از یک ارائه‎‌دهنده‌ی معروف سرویس Cloud به‌عنوان سرور Command-and-Control می باشد. این نمونه، از Google Docs برای نگهداری کلیدهای رمزگذاری و رمزگشایی برای هر یک از قربانیان استفاده می‌نماید. علی‌رغم منحصر به فرد بودن این ایده، Hosting کلیدها بر روی Google Docs یک راهکار کوتاه‌مدت به شمار می‌رود. به‌محض اطلاعGoogle  از این موضوع، احتمالا آن بخش از سرور که کلیدها را کنترل می‌نماید، به حالت Offline درخواهد آمد.

همانند همه‌ی باج‌افزارها (Ransomware)، لازم است که به منظور مقابله با این مورد نیز از بهترین روش استفاده شود.

تیم Netskope اظهار نمود: این مورد بر اهمیت شناسایی بدافزار در برنامه‌های Cloud تاکید می‌ورزد. البته فقط برنامه‌های مجاز مد نظر نمی‌باشند، بلکه برنامه های غیرمجاز نیز شامل این موضوع می‌گردند. در ضمن اهمیت پیش‌بینی چنین حملاتی از طریق شناسایی جایگاه محتوا حساس‌ در Cloud و کسب اطمینان از انجام پشتیبانی‌گیری(Back up) برای این فایل‌های مهم انجام می‌گردد.

بدون دیدگاه

دیدگاهتان را بنویسید

*