نسخههای جدید در راهند!
یک محقق امنیتی نوعی Kill Switch را برای باج افزار WannaCry فعال کرده است که ظاهراً جلوی انتشار این باج افزار را میگیرد.
اما این صحبتها حقیقت ندارد و متاسفانه تهدیدات این باجافزار در حال ادامه و حتی افزایش است. البته قابل ذکر است که kill switch سرعت پخش واناکریپتور را کاهش داده است.
نسخه جدید ویروس واناکریپتور که با آلودگی به NHS کشف شد، در حال حاضر توانسته در هر ساعت ۳۶۰۰ کامپیوتر را آلوده کند.
برای افرادی که خیلی در جریان هک جهانی واناکریپتور نیستند باید بگوییم که واناکریپتور نوعی بدافزار از خانواده باجافزارها است که توانست در طول ۲۴ ساعت در سراسر جهان گسترش یابد و قادر بود با اکسپلویت یک حفره امنیتی SMB در ویندوز، سیستم عاملهای ویندوزی که پچ نشدهاند را مورد هدف و سپس از راه دور آنها را آلوده کند.
مایکروسافت میگوید: “قابلیت این بدافزار این است که تلاش میکند تا در یک شبکه داخلی ماشینهای دارای سیستمعامل ویندوز پچ نشده را آلوده کند. در زمان مشابه، این بدافزار یک جستجوی بسیار بزرگ بر روی آدرسهای IP در سطح اینترنت انجام میدهد تا دیگر کامپیوترهای آسیبپذیر را پیدا کند. این فعالیت موجب میشود که ترافیکSMB زیادی از سمت میزبان آلوده شده داشته باشیم.
Maya Horowitz، محقق امنیتی، بر این باور است که نسخهی جدید این باج افزار گسترده در هر ثانیه اثرگذار است. وی همچنین افزود، شرکتها در حال تلاش برای جلوگیری از رمزنگاری اطلاعات خود و یا گستردگی و شیوع آلودگی در سیستمهای آنها هستند.
با وجود تمام تلاشهای امنیتی تا به حال بیش از ۴۰.۰۰۰ سیستم توسط نسخهی دوم این باج افزار آلوده شدهاند. حملهی سایبری اصلی در روز جمعه رخ داد که در آن ۳۰۰.۰۰۰ کامپیوتر در بیش از ۱۵۰ کشور دچار آلودگی شدند.
یک سخنگوی یوروپل گفت: در حال حاضر بنظر میرسد تعداد کامپیوترهای آلوده در حال افزایش هستند. نسخههای دیگری از این بدافزار کشف شده که مهاجم با تغییر در کد باجافزار، نام دامنه را تغییر داده است.
محقق امنیتی اهل انگلستان که به نام توییتر MalwareTech معروف است، در ارتباط با تهدیدات پیش رو هشدار داده است: “این مطلب برای همه بسیار مهم است که بدانند مهاجمان میتوانند تغییراتی در کد این بدافزار ایجاد کرده و مجدداً کار خود را آغاز کنند. پس همین الان سیستم خود را پچ کنید.”
وی همچنین افزود: من بهNCSC، FBI و خیلی از سازمانها اطلاعرسانی کردهام. من بیش از توان خود فعالیت داشتهام. بقیه موارد به خود کاربران بستگی دارد تا سیستمهای خود را پچ کنند.
Matthew Hickey یک کارشناس امنیتی و بنیانگذار Hacker House میگوید: “حملات آینده اجتنابناپذیر خواهند بود، چراکه شما میتوانید بهراحتی نمونههای موجود را توسط hex editor پچ کنید و آنها به روند انتشار خود ادامه میدهند. ما شاهد تعداد گوناگونی از این نوع حملات در هفتهها و ماههای آتی خواهیم بود، بدین منظور این نکته قابل اهمیت است که تمامی سیستمعاملها پچ شوند. این بدافزار قابلیت اصلاح شدن دارد تا از طریق دیگر پیلودها منتشر شود و ما شاهد کمپینهای دیگر بدافزارها که از این باجگیر افزار استفاده میکنند، خواهیم بود.
جالب است که پس از انتشار پچ نسخههای مختلف ویندوز باز هم بسیاری از افراد و سازمانها از وجود این پچهای جدید باخبر نبودند. صاحبان بسیاری از ماشینهای جاسازی شده مانند ATM ها یا نمایشگرهای دیجیتالی که از نسخههای پچ نشده و قدیمی ویندوز استفاده میکنند باید این موضوع را در نظر گیرند که بهروزرسانی این دستگاهها وقتگیر و دریافت مجوزهای جدید هزینه بر خواهد بود.
به همین خاطر به کاربران و سازمانها به طور کاملا جدی توصیه میشود تا هرچه سریعتر پچهای امنیتی در دسترس را بر روی سیستمعاملهای ویندوز خود نصب کنند و این موضوع را نیز در نظر بگیرند که 1SMBv را نیز غیرفعال کنند تا از حملات بعدی مشابه و نسخههای دیگر این باج افزار در امان باشند.
آیا حملات به پایان رسیده است؟
میتوان با قطعیت پاسخ این سوال را منفی دانست. به راستی که این تازه اول کار مجرمان است و به خوبی مشاهده میکنید که نسخه دوم این باج افزار هم منتشر شد. اما چیز نگران کنندهای که وجود دارد این است که به احتمال زیاد نسخهی دوم این باج افزار توسط اشخاص دیگری به غیر از مجرمان اصلی آن ساخته شده است.
چه کسانی پشت این حمله هستند؟
درحالیکه همچنان معلوم نیست چه کسانی در پشت WannaCry قرار دارند، اما این احتمال وجود دارد که مهاجمان سایبری در مقیاس بزرگ باشند که البته گاهی اوقات توسط دولتها حمایت میشوند، اما این حملاتِ در حال انجام هیچگونه لینکی به دولتهای خارجی ندارند.
یورو پل یا آژانس پلیس اتحادیه اروپا در این مورد گفته است: “حمله اخیر در سطح بیسابقهای انجام شده است و نیازمند تحقیقات بینالمللی پیچیده برای شناسایی مجرمان است.”
مبلغ دریافتی مجرمان تا به حال چقدر بوده است؟
تا تاریخ ۱۵ می ماه، مهاجمان واناکریپتور ۱۷۱ پرداختی دریافت کردهاند که مجموعاً برابر با ۲۷٫۹۶۹۶۸۷۶۳ بیت کوین بوده است که برابر با ۴۷٫۵۱۰ دلار آمریکا میشود.
راهکارهای موثر برای جلوگیری از حملاتی که ما را هدف قرار میدهند:
1. نه تنها حالا، بلکه همیشه بروزرسانی های امنیتی را نصب کنید.
2. پچ مربوط به آسیبپذیری SMB را نصب کنید.
3. SMB را غیر فعال کنید.
جهت غیر فعال کردن 1SMBv مراحل زیر را دنبال کنید:
• به بخش کنترل پنل خود بروید و Programs را باز کنید.
• گزینه Features را در زیرگروه Programs باز کنید و بر روی Turn Windows Features on and off کلیک کنید.
• حالا به پایین بیایید و SMB ۱.۰/CIFS File Sharing Support را بیابید و تیک آن را از داخل مربع کوچک بردارید.
• سپس بر روی OK کلیک کرده و Control Panel را ببندید و سیستم خود را مجددا بروزرسانی کنید.
4. فایروال را فعال کنید و پورتهای SMB را مسدود کنید. سعی کنید همیشه فایروال خود را فعال نگه دارید. اگر به هر دلیلی پچ را نصب نکردهاید و نصب آن برای شما مقدور نیست، پورتهای ۴۴۵ و ۱۳۹ را با استفاده از فایروال سیستم عامل ویندوز ببندید. این اقدام میتواند از حمله کرمها به شبکه جلوگیری و آن ها را مسدود کند.
5. استفاده از آنتیویروس قوی را در این زمان حساس فراموش نکنید.
6. بکآپگیری جزء مهمترین اقدامات است.
7. پچهای منتشر شده توسط مایکروسافت را نصب کنید؛
8. از امنیت شبکه خود اطمینان حاصل کنید؛
مرجع : خبرگزاری مهر-ایتنا
