Netwalker کاربران سازمانی ویندوز را هدف گرفته است
کد مطلب: 16381
تاریخ انتشار : شنبه ۳ اسفند ۱۳۹۸ ساعت ۱۲:۵۸
 
باج‌افزاری با نام Mailto یا Netwalker در حال انتشار است که دستگاه‌های دارای سیستم عامل Windows را در شبکه‌های سازمانی هدف قرار می‌دهد.
Netwalker کاربران سازمانی ویندوز را هدف گرفته است
 
 
Share/Save/Bookmark
باج‌افزاری با نام Mailto یا Netwalker در حال انتشار است که دستگاه‌های دارای سیستم عامل Windows را در شبکه‌های سازمانی هدف قرار می‌دهد.

به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، با در نظر گرفتن اخاذی‌های با مبالغ بالا توسط مهاجمان و پرداخت‌های هنگفت از سوی قربانیان در جریان حملات باج‌افزاری بر ضد سازمان‌ها، استقبال نویسندگان باج‌افزار از اجرای این نوع حملات هدفمند در حال افزایش است. یکی از جدیدترین نمونه‌های آن، انتشار باج‌افزاری با نام Mailto است که با عنوان Netwalker نیز شناخته می‌شود. این باج‌افزار دستگاه‌های با سیستم عامل Windows را در شبکه‌های سازمانی هدف قرار می‌دهد.

اگرچه در آگوست سال میلادی گذشته، نمونه فایلی رمزگذاری شده که به آن پسوند Mailto الصاق شده‌بود به سایت ID Ransomware ارسال شد، اما به نظر می‌رسد جزییات آن تا قبل از آلوده شدن شبکه Toll Group، یکی از بزرگ‌ترین شرکت‌های ترابری استرالیایی به این باج‌افزار حدود دو هفته قبل، مورد توجه منابع امنیتی قرار نگرفته‌بود.

در فایل اجرایی نمونه‌ای از باج‌افزار Mailto که اخیراً به دست محققان رسید این‌طور وانمود می‌شود که فایل متعلق به یک نرم‌افزار مدیریت رمزهای عبور با نام Sticky Password است.


با اجرای آن، باج‌افزار بر اساس تنظیماتی که در کد آن لحاظ شده‌است شروع به کار می‌کند. ازجمله این تنظیمات می‌توان به الگوی (Template) اطلاعیه باج‌گیری (Ransom Note)، نام‌های فایل اطلاعیه باج‌گیری، تعداد نویسه‌های شناسه/پسوند و فایل‌ها، پوشه‌ها و پسوندهای مستثنی شده اشاره کرد. بخشی از این پیکربندی‌ها در تصویر زیر نمایش داده شده‌است.


برخی محققان معتقدند که پیکربندی Mailto در مقایسه با باج‌افزارهای متداول نسبتاً پیشرفته و پرجزییات است. در حالی که تقریباً در تمامی باج‌افزارها فایل‌ها، پوشه‌ها و پسوندهایی خاص از رمزگذاری شدن استثنا می‌شوند در فهرست سفید Mailto مجموعه‌ای به مراتب مفصل‌تر از این موارد در نظر گرفته شده است.

در زمان رمزگذاری فایل‌ها، باج‌افزار، کلمه Mailto را در قالب .mailto[{mail۱}].{id} به فایل رمز شده الصاق می‌کند. برای مثال، نام و پسوند فایل ۱.doc پس از رمز شدن توسط یک نمونه از این باج‌افزار به ۱.doc.mailto[sevenoneone@cock.li],۷۷d۸b تغییر می‌کند.


اطلاعیه باج‌گیری Mailto نیز در قالب {ID}-Readme.txt بر روی دستگاه قربانی ایجاد می‌شود. برای مثال، فایل اطلاعیه باج‌گیری در نمونه مذکور با نام ۷۷D۸B-Readme.txt بر روی دستگاه ذخیره می‌شود.

اطلاعیه باج‌گیری شامل توضیحاتی در خصوص بلایی که بر سر فایل‌های کاربر آمده بوده و برای دریافت اطلاعات بیشتر ازجمله آگاهی از نحوه پرداخت باج، قربانی به دو نشانی ایمیل درج شده در اطلاعیه ارجاع می‌شود.

هنوز مشخص نیست که این باج‌افزار حاوی ضعفی باشد که امکان دور زدن سازوکار رمزگذاری آن و رمزگشایی رایگان فایل‌ها را فراهم کند.

در زمان شناسایی یک باج‌افزار جدید، معمولاً کاشف و شرکت‌های امنیتی برای نامگذاری آن از همان اسمی استفاده می‌کنند که برنامه‌نویس یا مهاجم به‌نحوی (در اطلاعیه باج‌گیری یا در بخشی از کد) با آن عنوان از آن یاد کرده است. اما اگر باج‌افزار فاقد چنین نشانه‌هایی باشد عموماً پسوند الصاقی به فایل رمز شده ملاک نامگذاری قرار می‌گیرد. بسیاری از قربانیان نیز در زمان مواجهه با آلودگی به باج‌افزار ناخواسته از رویکرد دوم تبعیت می‌کنند.

در خصوص باج‌افزار یاد شده در این خبر، در ابتدا محققان کاشف آن به دلیل نیافتن کلمه یا عبارتی خاص در باج‌افزار و فایل‌های وابسته بدان، بر اساس پسوند اقدام به انتخاب نام کردند. اما پس از مدتی، نمونه‌ای از رمزگشای (Decryptor) عرضه‌شده از سوی گردانندگان این باج‌افزار شناسایی شد که در آن این افراد صراحتاً از عبارت Netwalker استفاده کرده‌اند.

با توجه به این یافته جدید احتمالاً در برخی محافل و منابع امنیت فناوری اطلاعات به‌جای Mailto با عنوان Netwalker به این باج‌افزار اشاره خواهدشد.
مرجع : مرکز مدیریت راهبردی افتا