اكتشف باحثو الأمن نوعًا جديدًا من برامج الفدية الخبيثة التي تستخدم تنسيقًا غير معروف خاص بملفات جافا لجعل الكشف أكثر صعوبة قبل تثبيت حمولتها التي تشفر ملفات الضحايا.
وقالت وحدة الاستجابة لحوادث KPMG للأمن السيبراني إنها استدعيت لاستعادة الجهود في معهد تعليمي أوروبي غير معروف تعرض لهجوم من برنامج فدية خبيث ، ثم قامت وحدة BlackBerry Cyber Security Research - التي تشارك مع KPMG - بتحليل البرامج الضارة ونشر نتائجها اليوم هو الخميس.
قال باحثو BlackBerry: إن أحد المتسللين اخترقوا شبكة المعهد باستخدام خادم سطح مكتب بعيد متصل بالإنترنت ، وأنشأوا بابًا خلفيًا ثابتًا لسهولة الوصول إلى الشبكة بعد المغادرة. بعد أيام قليلة من عدم النشاط لمنع الكشف ، أعاد المخترق الدخول إلى الشبكة مرة أخرى من خلال الباب الخلفي ، وأوقف أي خدمة تعمل ضد البرامج الضارة ، ونشر برامج فدية عبر الشبكة ، وثبت الحمل الذي قام بتشفير ملفات كل كمبيوتر في الشبكة ، ثم طالبوا بفدية لفك التشفير.
وقال الباحثون إن هذه هي المرة الأولى التي يرون فيها برامج فدية ضارة بتنسيق ملف Java أو JIMAGE. تحتوي هذه الملفات على جميع المكونات اللازمة لتشغيل التعليمات البرمجية ، لأنها تشبه إلى حد ما تطبيقات Java ، ولكن نادرًا ما يتم فحصها بواسطة محركات مكافحة البرامج الضارة.
عادة ما تستخدم برامج الفدية الخبيثة برامج خوارزمية تشفير قوية جاهزة لاكتساب ملفات الضحايا للحصول على فدية ، وغالبًا ما يتم طلب برامج الفدية في شكل عملة مشفرة. استمتع لمعظم الضحايا ، خياراتهم الوحيدة هي الأمل في الحصول على نسخة احتياطية ، أو دفع الفدية.
لكن الباحثين قالوا: كان من المأمول أن يتمكن بعض الضحايا من استعادة ملفاتهم المشفرة دون دفع الفدية ، من أجل القيام بذلك أولاً من برنامج الفدية الخبيث - المسمى قطب - استخدم نفس مفاتيح التشفير للتشويش على ملفات ضحاياهم . قال الباحثون: هذا يعني أنه يمكن استخدام وحدة فك ترميز واحدة لاستعادة الملفات لضحايا متعددين. ومع ذلك ، يبدو أن الإصدار الأخير من Tycoon قد أصلح هذه الثغرة الأمنية.
وقال باحثان من شركة بلاك بيري لـ Tech Crunch: لقد لاحظوا حوالي 12 إصابة "عالية المستوى" في الأشهر الماضية ، مشيرين إلى أن المتسللين كانوا يختارون ضحاياهم للنظر.
إرسال تعليق