حمله «خرگوش بد» به سازمانهای بزرگ روسیه و اوکراین
بـــاج افزار جدیدی بهنام «خرگوش بد» که چندی پیش توســـط گـــروه Shadow Brokers منتشـــرًشد، در طول یک هفته اخیر توانسته است بیش از 200 سازمان بزرگ را که عمدتا در روسیه و اوکراین هستند هدف قرار دهد. به گزارش ایسنا، گفته میشود این باج افزار با اطالعاتی که از سازمان امنیت ملی امریکا هب)NSA( ســـرقت برده موفق به هک این سازمانهای بزرگ شده است. باج افزار خرگوش بد در سایتهای ارائه دهنده مالتی مدیا در روسیه با تحریک کاربـــران برای نصب فلش پلیر، کاربران خود را آلـــوده میکند و از کاربران مبلغ 0.0۵ بیتکوین طلب میکند. تا پیش از این گزارش شـــده بود که هیچ یک از تروجانها و باجافزارهای منتشـــر شـــده در ایـــن هفته از هیچ یـــک از ابزارهای توســـعه یافته آژانـــس امنیت ملی امریکا اســـتفاده نمیکند اما بر خالف گزارش قبل، اخیراً گزارشـــی توسط بخش ابهامزدایی امنیت اطالعات سیسکو تهیه شده که طبق آن باج افزار خرگوش بد از حفره EternalRomance استفاده میکند. مایکروسافت و شرکت F-Secure یک شرکت فنالندی تولیدکننده نرمافزارهای امنیتی و ضدویروس مســـتقر در هلســـینکی که کار تحلیل ضدویروس و توسعه نرمافـــزاری آن را بهطور مداوم انجام میدهند هم وجود ایـــن باج افزار را تأیید کردهاند.این حفره، یک نقص امنیتی است که به هکر اجازه میدهد تا دستورات ترمینـــال یا CMD از راه دور را روی ســـرور اجرا کنـــد و از نقص امنیتی موجود در پروتـــکل smb ویندوز اســـتفاده میکند. طبق گزارش مرکز اطالعرســـانی پلیس تولیـــد و تبادل اطالعات، پروتکل )SMB)Server Message Block پروتکلی برای به اشتراکگذاری فایل بین کالینت و سرور است. این پروتکل توسط شرکت IBM با هدف به اشتراکگذاری منابعی مانند پرینتر، فایل ...و توسعه داده شد. امـــا خرگـــوش بـــد چگونـــه در شـــبکه گســـترش مییابـــد؟ خرگـــوش بـــد از EternalRomance RCE بهـــره میگیرد تا در شـــبکه قربانیان خود را گســـترش دهد. در پاسخ به این سؤال که چه کسی خرگوش بد را منتشر کرد نیز باید گفت از آنجـــا که هـــر دو باج افزار خرگوش بـــد و NotPetya با اســـتفاده از کد دیجیتال DiskCryptor بـــرای رمزگذاری هارددیســـک قربانی و پاک کردن دیســـکهای متصل به سیستم آلوده استفاده میکنند. محققان معتقدند که هر دو باج افزار توسط یک گروه منتشر شدهاند. چگونه میتوان از شر این باج افزار در امان ماند؟ اگر کاربر خانگی هســـتید پروتکل SMB سیستم خود را ببندید و اگر در شبکه قرار دارید و بـــه پروتکل SMB نیاز دارید، پـــس WMI service را غیرفعال کنید تا در صورت آلوده شدن یک سیستم، سیستمهای دیگر آلوده نشوند. همچنین سیســـتمعامل خود را همیشـــه بهروز نگه دارید و از آنتی ویروسهای قدرتمندومعتبراستفادهکنید.ازآنجاییکهاکثراینبدافزارهاازطریقایمیلهای فیشینگ وارد سیستم میشوند، از باز کردن لینکهای مشکوک اجتناب کنید. درپایاناینکههمیشهازاطالعاتخودپشتیبانتهیهکنیدتادرصورتبروزهرگونه مشکل امکان بازگردانی اطالعات را داشته باشید.