فناوران - مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه ای نسبت به شیوع باج افزار «سم سم» در کشور که سیستم کامپیوتری مراکز بهداشتی، مدارس و بیمارستان ها را مورد هدف قرار می دهد، هشدار داد.

سم سم همان باج افزاری است که اوایل امسال با حمله به مراکز مختلف دولتی شهر آتالانتا، این شهر را فلج کرد و سبب شد بسیاری از سرویس های دولتی قطع شود.

مرکز ماهر اعلام کرد: مشاهده و رصد فضای سایبری در روزهای اخیر از افزایش فعالیت باج افزار ‫SamSam خبر می دهد. هر چند شروع فعالیت این باج افزار در ماه های فوریه، مارس و آوریل ۲۰۱۶ گزارش شده اما فعالیت جدید این باج افزار در ماه های اخیر مجدداً از سر گرفته شده است. 

بررسی ها نشان می دهد باج افزار SamSam بر خلاف سایر باج افزارها، اهداف خود را با دقت انتخاب می کند. مشاهدات حاکی از آن است که این باج افزار عموماً مراکز بهداشتی، مدارس و بیمارستان ها را مورد هدف قرار می دهد. این نکته را باید در نظر گرفت که SamSam از طریق آسیب پذیری های شناخته شده در سیستم عامل یا حمله Brute force و شکستن کلمات عبور ضعیف در سرویس ریموت دسکتاپ (RDP) اقدام به حمله می کند و دلیل موفقیت آن نیز همین نکته است.

نکته قابل توجه اینکه باج افزارها، پس از نفوذ موفقیت آمیز به سیستم قربانی، به سرعت از طریق درایوهای به اشتراک گذاشته شده در شبکه که در سیستم ها نگاشت شده اند باعث رمزگذاری اطلاعات سایر سیستم های موجود در شبکه نیز می شوند.

مرکز ماهر به مدیران و راهبران شبکه توصیه اکید کرده که پس از به روزرسانی سیستم عامل و نصب آخرین وصله های امنیتی، نسبت به امن سازی سرویس های موجود در شبکه خصوصا RDP اقدام کرده و حتما از پشتیبان گیری منظم داده ها اطمینان حاصل کنند.

نام این باج افزار اوایل فروردین امسال زمانی سر زبان ها افتاد که شهر آتالانتا را فلج کرد. از آن زمان تاکنون این باج افزار به مراکز صنعتی، بیمارستان ها و مدارس مختلف حملات موفقیت آمیزی داشته است. علاوه بر این هکرها به خوبی توانسته اند هویت خود را مخفی کرده و به باج گیری ادامه دهند.

مرکز مدیریت راهبردی امنیت فضای تولید و تبادل اطلاعات ریاست جمهوری نیز نسبت به گسترش بدافزار «کاوشگر ارز دیجیتالی» هشدار داد.

براساس گزارش این مرکز اخیرا یک کاوشگر ارز دیجیتالی نوشته شده به زبان پایتون و با نام PyRoMine، در حال گسترش در سیستم های ویندوزی است. این کاوشگر که ارز Monero را استخراج می کند، مشابه سایر کاوشگرها عمل می کند. این بدافزار از یکی از کدهای اکسپلویت NSA )آژانس امنیت ملی امریکا) به نام EternalRomance برای انتشار خود استفاده می کند.

این کد اکسپلویت مربوط به یکی از ابزارهای نفوذ گروه هک ShadowBrokers است که در ماه آوریل سال گذشته در اختیار عموم قرار گرفت. این کد پس از انتشار عمومی، سال گذشته در حمله باج افزار BadRabbit مورد استفاده قرار گرفت. از سوی دیگر در اوایل سال جاری، EternalRomance و دو اکسپلویت دیگر EternalSynergy و EternalChampion  در چارچوب Metasploit قرار گرفتند. بنابراین این اکسپلویت ها می توانند تمامی نسخه های ویندوز شامل ویندوز ۲۰۰۰ به بعد را هدف قرار دهند.

بدافزار PyRoMine از طریق یک فایل Zip منتشر می شود که حاوی یک فایل اجرایی است. این کاوشگر از نسخه ویرایش شده EternalRomance استفاده می کند. زمانی که PyRoMine اجرا شود، آدرس های IP محلی را استخراج کرده و آلودگی خود را به سایر زیرشبکه ها گسترش دهد. 

نحوه عملکرد این بدافزار به این صورت است که پس از نفوذ این بدافزار به سیستم، یک اسکریپت VB در سیستم دانلود می شود که عملیات کاوش ارز را انجام می دهد. این اسکریپت یک حساب کاربری مدیریتی در سیستم ایجاد می کند تا از طریق آن پروتکل Remote Desktop را فعال کند و یک قانون فایروال برای باز کردن ترافیک پورت ۳۳۸۹ ایجاد کند. همچنین این اسکریپت سرویس به روزرسانی ویندوز را غیرفعال کرده و با اعمال سایر تنظیمات در سرویس مدیریت از راه دور ویندوز، سیستم را برای حملات آتی آماده می کند.

PyRoMine اولین کاوشگر ارزی نیست که از اکسپلویت های NSA برای گسترش استفاده می کند، امّا این بدافزار سیستم را به گونه ای پیکربندی می کند تا در معرض حملات بیشتر و پیچیده تری قرار گیرد. 

اکسپلویت های NSA قبلا از سوی NotPetya، WannaCry، Adylkuzz و Retefe به کار رفته اند ولی استفاده از این اکسپلویت ها از سوی بدافزارهایی نظیر Smominru، WannaMine و PyRoMine نشان می دهد که استفاده از این اکسپلویت ها از سوی کاوشگران ارز نیز مورد توجه قرار گرفته است. 

مرکز افتا هشدار داده است که برای جلوگیری از آلودگی احتمالی، پیشنهاد می شود تا هر چه سریع تر سیستم های ویندوزی خود را به روزرسانی کنید.