حدد باحثو الأمن في Cyble مؤخرًا أن مؤلفي برامج الفدية لديهم الآن إمكانية الوصول إلى أداة ضارة جديدة تمامًا - AXLocker - والتي لديها القدرة على تشفير العديد من أنواع الملفات وجعلها غير قابلة للاستخدام.
باعتبارها واحدة من أكثر عائلات البرامج الضارة ربحًا وأهمية بالنسبة لممثلي التهديدات ، أصبحت برامج الفدية بسرعة أحد أهم أنواع التهديدات.
.webp)
تدفق الهجوم
تم الكشف عن ثلاث عائلات جديدة من برامج الفدية التالية: AXLocker و Octocrypt و Alice Ransomware.
يسرق المهاجمون الذين يقفون وراء برنامج الفدية AXLocker رموز الخلاف وحسابات المستخدمين المصابين. بعد تشفير الملفات على كمبيوتر الضحية ، يتم تصوير مذكرة فدية. تقدم هذه المذكرة تعليمات للضحية حول كيفية الحصول على أداة فك التشفير. قال باحثو Cyble عبر تقرير تقني .
يمكن استخدام رموز Discord التي سرقها المتسللون لتنفيذ الإجراءات التالية:
- سجل الدخول كمستخدم
- الحصول على معلومات حول الحساب المرتبط عن طريق إصدار طلبات API
تحولت منصات NFT ومجموعات العملات المشفرة إلى Discord كمجتمع مفضل للتواصل.
لذلك ، من الواضح أن المهاجم يمكنه الاستفادة من رمز وسيط Discord بالإضافة إلى الرموز المميزة لأعضاء المجتمع الآخرين الذين تم التحقق منهم لتنفيذ عمليات الاحتيال وسرقة الأموال من خلال الاستخدام الاحتيالي لها.
تم تصنيف برنامج الفدية AXLocker الجديد كواحد من أكثر البرامج الضارة تعقيدًا لأنه يسرق رموز Discord من ضحاياه جنبًا إلى جنب مع تشفير ملفات ضحاياهم.
بينما لا يمتلك الفاعلون المهددون الذين يستخدمون هذه الأداة الخبيثة أي تعقيد معين عندما يتعلق الأمر بأفعالهم.
بعد تنفيذ برنامج الفدية ، يقوم بتشفير الملفات عن طريق استدعاء وظيفة تسمى startencryption () على النظام والتي تخفي وجودها عن طريق تعديل سمات ملفاتها.
وظيفة startencryption () هي المسؤولة عن تعداد الدلائل المتاحة على محرك الأقراص C: / والعثور على الملفات فيها باستخدام الكود الموجود في الوظيفة.
يتم التحكم في عملية التشفير من خلال البحث عن امتدادات الملفات القابلة للتشفير واستبعاد قائمة من الدلائل من التشفير.
يتبع ذلك برنامج الفدية الذي يستدعي وظيفة ProcessFile ، والتي ستقوم بعد ذلك بتنفيذ وظيفة EncryptFile التي تقوم بتشفير ملفات النظام الخاصة بالضحية باستخدام اسم الملف كوسيطة.
يتم استخدام خوارزمية AES بواسطة AXLocker عند تشفير الملفات. ومع ذلك ، لا تحتوي الملفات المشفرة على أي امتداد ملحق بأسماء الملفات الخاصة بهم ، لذلك تظهر بنفس أسماء الملفات الأصلية.
ثم يستخدم عنوان URL للويب هوك الذي يرسل من خلاله البيانات التالية إلى قناة Discord التي تخضع لسيطرة الجهات الفاعلة في التهديد: -
- معرف الضحية
- تفاصيل النظام
- البيانات المخزنة في المتصفحات
- رموز الخلاف
بينما بصرف النظر عن هذا المحللين الأمنيين اكتشفوا أيضًا عائلتين أخريين من برامج الفدية وهنا مذكوران أدناه: -
- Octocrypt Ransomware
- أليس رانسومواري
يوجد نموذج أعمال RaaS (Ransomware-as-a-Service) وراء كل من برامج الفدية هذه. جميع إصدارات Windows مستهدفة بواسطة هذه المتغيرات الجديدة من برامج الفدية الضارة.
الدلائل المستهدفة
من بين الدلائل التي تستهدفها البرامج الضارة لسرقة رموز Discord ، ما يلي: -
- الخلاف \ التخزين المحلي \ المستوى ديسيبل
- discordcanary \ التخزين المحلي \ leveldb
- الخلاف \ المستوى ديسيبل
- برنامج Opera \ Opera Stable \ Local Storage \ leveldb
- Google \ Chrome \ User Data \\ Default \ Local Storage \ leveldb
- BraveSoftware \ Brave-Browser \ بيانات المستخدم \ الافتراضي \ التخزين المحلي \ المستوىdb
- Yandex \ YandexBrowser \ بيانات المستخدم \ الافتراضي \ التخزين المحلي \ المستوىdb
ومع ذلك ، من المهم ملاحظة أنه على الرغم من أن برنامج الفدية هذا موجه بشكل أساسي إلى المستهلكين ، إلا أنه لا يزال يمثل تهديدًا كبيرًا للمجتمعات والمؤسسات الكبيرة أيضًا.
التوصيات
هنا أدناه ذكرنا جميع التوصيات التي قدمها الخبراء: -
- يجب إجراء النسخ الاحتياطية بانتظام.
- تأكد من تخزين النسخ الاحتياطية الخاصة بك في السحابة أو على شبكة منفصلة.
- يوصى بتمكين تحديثات البرامج التلقائية على جهاز الكمبيوتر والهاتف المحمول وأي أجهزة أخرى متصلة متى كان ذلك ممكنًا وعمليًا.
- يجب أن تكون أجهزتك المتصلة ، مثل جهاز الكمبيوتر والكمبيوتر المحمول والهاتف المحمول ، محمية بحزمة برامج موثوقة لمكافحة الفيروسات وأمن الإنترنت.
- تأكد من التحقق من صحة مرفقات وروابط البريد الإلكتروني قبل فتحها.
- يجب قطع اتصال الأجهزة المصابة على نفس الشبكة.
- تأكد من فصل أجهزة التخزين الخارجية إذا كانت متصلة.
- تأكد من فحص سجلات النظام بحثًا عن أي نشاط مريب.
- نوصي بقراءة قائمة مراجعة الاستجابة لهجمات برامج الفدية والتخفيف من حدتها .
.webp&description=يستخدم المتسللون فيروسات الفدية الجديدة التي تشفر الملفات وتسرق الرموز من جهاز الضحية){kind=link}
0 تعليقات