Iran Newspaper

حمله «خرگوش بد» به سازمانهای بزرگ روسیه و اوکراین

بـــاج افزار جدیدی بهنام «خرگوش بد» که چندی پیش توســـط گـــروه Shadow Brokers منتشـــرًشد، در طول یک هفته اخیر توانسته است بیش از 200 سازمان بزرگ را که عمدتا در روسیه و اوکراین هستند هدف قرار دهد. به گزارش ایسنا، گفته میشود این باج افزار با اطالعاتی که از سازمان امنیت ملی امریکا هب)NSA( ســـرقت برده موفق به هک این سازمانهای بزرگ شده است. باج افزار خرگوش بد در سایتهای ارائه دهنده مالتی مدیا در روسیه با تحریک کاربـــران برای نصب فلش پلیر، کاربران خود را آلـــوده میکند و از کاربران مبلغ 0.0۵ بیتکوین طلب میکند. تا پیش از این گزارش شـــده بود که هیچ یک از تروجانها و باجافزارها­ی منتشـــر شـــده در ایـــن هفته از هیچ یـــک از ابزارهای توســـعه یافته آژانـــس امنیت ملی امریکا اســـتفاده نمیکند اما بر خالف گزارش قبل، اخیراً گزارشـــی توسط بخش ابهامزدایی امنیت اطالعات سیسکو تهیه شده که طبق آن باج افزار خرگوش بد از حفره EternalRom­ance استفاده میکند. مایکروسافت و شرکت F-Secure یک شرکت فنالندی تولیدکننده نرمافزارها­ی امنیتی و ضدویروس مســـتقر در هلســـینکی که کار تحلیل ضدویروس و توسعه نرمافـــزا­ری آن را بهطور مداوم انجام میدهند هم وجود ایـــن باج افزار را تأیید کردهاند.این حفره، یک نقص امنیتی است که به هکر اجازه میدهد تا دستورات ترمینـــال یا CMD از راه دور را روی ســـرور اجرا کنـــد و از نقص امنیتی موجود در پروتـــکل smb ویندوز اســـتفاده میکند. طبق گزارش مرکز اطالعرســـ­انی پلیس تولیـــد و تبادل اطالعات، پروتکل ‪)SMB)Server Message Block‬ پروتکلی برای به اشتراکگذار­ی فایل بین کالینت و سرور است. این پروتکل توسط شرکت IBM با هدف به اشتراکگذار­ی منابعی مانند پرینتر، فایل ...و توسعه داده شد. امـــا خرگـــوش بـــد چگونـــه در شـــبکه گســـترش مییابـــد؟ خرگـــوش بـــد از ‪EternalRom­ance RCE‬ بهـــره میگیرد تا در شـــبکه قربانیان خود را گســـترش دهد. در پاسخ به این سؤال که چه کسی خرگوش بد را منتشر کرد نیز باید گفت از آنجـــا که هـــر دو باج افزار خرگوش بـــد و NotPetya با اســـتفاده از کد دیجیتال DiskCrypto­r بـــرای رمزگذاری هارددیســـ­ک قربانی و پاک کردن دیســـکهای متصل به سیستم آلوده استفاده میکنند. محققان معتقدند که هر دو باج افزار توسط یک گروه منتشر شدهاند. چگونه میتوان از شر این باج افزار در امان ماند؟ اگر کاربر خانگی هســـتید پروتکل SMB سیستم خود را ببندید و اگر در شبکه قرار دارید و بـــه پروتکل SMB نیاز دارید، پـــس ‪WMI service‬ را غیرفعال کنید تا در صورت آلوده شدن یک سیستم، سیستمهای دیگر آلوده نشوند. همچنین سیســـتمعا­مل خود را همیشـــه بهروز نگه دارید و از آنتی ویروسهای قدرتمندومع­تبراستفاده­کنید.ازآنجاییکه­اکثراینبدا­فزارهاازطر­یقایمیلهای فیشینگ وارد سیستم میشوند، از باز کردن لینکهای مشکوک اجتناب کنید. درپایاناین­کههمیشهازا­طالعاتخودپ­شتیبانتهیه­کنیدتادرصو­رتبروزهرگو­نه مشکل امکان بازگردانی اطالعات را داشته باشید.