هشدار به کاربران ویندوز در خصوص کرم RASPBERRY ROBIN

محققان سایبری در خصوص موج مداوم حملات گروهی به نام Raspberry Robin که یک بدافزار ویندوز با قابلیت‌های کرم را منتشر می‌کنند، هشدار می‌دهند.

به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، کاربران ویندوز مراقب کرم RASPBERRY ROBIN باشند. در این حملات یک کرم از طریق دستگاه‌های USB با قابلیت جابجایی که حاوی یک فایل مخرب . LNK است منتشر می‌شود و از دستگاه‌های ذخیره‌سازی متصل به شبکه QNAP که آسیب‌دیده هستند جهت انجام فرآیندهای مربوط به کنترل و فرمان در دستگاه استفاده می‌کند.

این بدافزار که به نام کرم QNAP هم شناخته می‌شود، از یک باینری مجاز نصب‌کننده ویندوز به نام "msiexec.exe" جهت دانلود و اجرای یک کتابخانه مشترک (DLL) مخرب از یک دستگاه QNAP NAS آسیب‌دیده استفاده می‌کند.

پایداری این کرم در دستگاه آسیب‌پذیر، با تغییرات Windows Registry جهت بارگیری پی‌لود مخرب بدست می‌آید که این امر از طریق باینری ویندوز "rundll۳۲.exe" در فاز راه‌اندازی صورت می‌پذیرد.

QNAP اعلام کرد که به طور ویژه در حال بررسی موج جدیدی از آلودگی‌های باج‌افزار Checkmate است که دستگاه‌هایش را مورد هدف قرار می‌دهد، به طوری که پس از باج‌افزارهای AgeLocker، eCh۰raix و DeadBolt، آن را به جدیدترین نوع از باج‌افزارها تبدیل کرده است.

تحقیقات اولیه نشان می‌دهد که باج‌افزار Checkmate از طریق سرویس‌های SMB که در معرض اینترنت قرار دارند، حمله خود را شروع کرده و از dictionary attack جهت پیداکردن رمزعبور سیستم استفاده می‌کنند. هنگامی که مهاجم با موفقیت به دستگاهی وارد می‌شود، داده‌ها را در پوشه‌های مشترک رمزگذاری کرده و یادداشتی که نام فایل آن "!CHECKMATE_DECRYPTION_README" می‌باشد را در هر پوشه قرار می‌دهد.

شرکت تایوانی QNAP به مشتریان توصیه می‌کند که خدمات SMB را در معرض اینترنت قرار ندهند، از رمزهای عبور قوی استفاده کنند به‌طور منظم نسخه پشتیبان تهیه کنند و سیستم عامل QNAP را به آخرین نسخه‌ی منتشر شده به‌روزرسانی کنند.