جهان در آتش حملات سایبری؛ آلودگی گسترده کامپیوترها با باج‌افزاری که مرگ ندارد!

حملات سایبری گسترده‌ای که از دیروز آغاز شده عملکرد کامپیوتر‌های بزرگ‌ترین شرکت نفتی روسیه، بانک‌های اوکراین و شرکت‌های چندملیتی را در سراسر جهان مختل کرده است. این حملات برپایه انتشار بدافزاری مشابه با باج افزار واناکرای که ماه گذشته بیش از ۳۰۰ هزار کامپیوتر را آلوده کرده بود شکل گرفته است.

انتشار گسترده باج افزار جدید، بر این نگرانی که شرکت‌ها و سازمان‌ها نمی‌توانند از شبکه‌ها و سیستم‌های کامپیوتری خود در مقابل حملات سایبری روزافزون دفاع کنند افزوده است. در طرف مقابل، نفوذگران سایبری هم نشان داده‌اند با بهره‌گیری از راهکارهای متفاوت حتی می‌توانند زیرساخت‌های اساسی و شبکه‌های مهم دولتی و سازمانی را با اختلال روبرو کنند.

در توسعه باج‌افزار جدید از کد Eternal Blue استفاده شده که محققان حوزه امنیت سایبری معتقدند از آژانس امنیت ملی آمریکا (NSA) سرقت شده و البته در حملات ماه گذشته با بدافزار واناکرای نیز استفاده شده بود. Kevin Johnson مدیراجرایی شرکت امنیتی Secure Ideas در خصوص این حملات می‌گوید:

نفوذگران سایبری به راحتی می‌توانند ما را نابود کنند. شرکت‌ها هم عکس العملی‌هایی که انتظار می‌رود به‌منظور مساعد کردن شرایط اتخاذ شود را به مرحله اجرا درنیاورده‌اند.

 بدافزار جدید با رمزگذاری دیسک‌های سخت و یا بازنویسی فایل‌ها در سیستم‌های کامپیوتری مجهز به مایکروسافت ویندوز، برای بازکردن قفل، از قربانی ۳۰۰ دلار به صورت بیت‌کوین طلب می‌کند. بر اساس گزارشی که از لیست معاملات در وب‌سایت بلاک‌چین تهیه شده بیش از ۳۰ قربانی دور جدید حملات بدافزارها، تاکنون مبالغی را برای آزادشدن فایل‌ها و محتویاتشان، به مجرمان سایبری پرداخت کرده‌اند. مایکروسافت اعلام کرده این باج‌افزار ممکن است از طریق حفره امنیتی که به واسطه عرضه به‌روزرسانی ماه مارس مرتفع شده، گسترش یابد. سخنگوی مایکروسافت در این خصوص می‌گوید:

ما همچنان تحقیقاتمان را ادامه داده و سیاست‌های لازم را برای محافظت از اطلاعات مشتریانمان به مرحله اجرا درخواهیم آورد.

سخنگوی مایکروسافت بر این نکته نیز تاکید داشته که نرم‌افزار آنتی ویروس این شرکت، توانایی شناسایی و حذف این بدافزار را دارد.

بر اساس گزارش آزمایشگاه امنیتی کسپرسکی، روسیه و اوکراین، کشورهایی بوده‌‌اند که بیشترین تاثیر را در مقابل هزاران حمله به ثبت رسیده توسط این باج‌افزار متحمل شده‌اند. با وجود این، قربانیان دیگری هم در کشورهایی نظیر بریتانیا، فرانسه، آلمان، ایتالیا، لهستان و ایالات متحده آمریکا در دام این باج‌افزار گرفتار شده‌اند. هنوز آمار دقیقی از مجموع حملات اعلام نشده است.

با توجه اینکه بسیاری از کامپیوترها، در پی انتشار گسترده باج افزار واناکرای، بسته‌های امنیتی مایکروسافت را دریافت و نصب کرده‌اند، متخصصان امنیتی انتظار دارند تعداد حملات کم‌تری را در مقایسه با آنچه در خصوص واناکرای به ثبت رسیده شاهد باشیم. با وجود این، حملات جدید همچنان در مقایسه با نمونه‌های سنتی، خطرناک‌تر هستند زیرا باج‌افزار جدید، کامپیوتر کاربران را غیرقابل استفاده کرده و امکان راه‌اندازی مجدد را هم از آن‌ها سلب می‌کند.

محققان معتقدند در توسعه این باج‌افزار، احتمالا از کدهایی استفاده شده که پیش از این در کمپین‌های باج‌افزاری به نام Petya و GoldenEye شاهد بودیم.

در پی حملات ماه گذشته، دولت‌ها، شرکت‌های امنیتی و گروه‌‌های صنعتی، شدیداً به سازمان‌ها، شرکت‌ها و کاربران معمولی توصیه کردند تا سیستم‌عامل کامپیوتر خود را به‌منظور ایمنی هرچه بیشتر در برابر حملات نفوذگران، به‌روزرسانی کنند.

دپارتمان امنیت ملی ایالات متحده آمریکا اعلام کرده در حال رصد این حملات است و در این زمینه با سایر کشورها تعامل دارد. این سازمان به قربانیان پیشنهاد کرده هیچ وجهی را به نفوذگران پرداخت نکنند زیرا هیچ تضمینی برای دسترسی مجدد آن‌ها به اطلاعات قفل شده وجود ندارد. شورای امنیت ملی کاخ سفید هم در اظهارنظری اعلام کرده در حال حاضر هیچ خطری متوجه امنیت عمومی نیست. این در حالی است که NSA از اظهارنظر در این خصوص خودداری کرده است. این آژانس جاسوسی هیچ‌گاه به‌طور رسمی توسعه کد Eternal Blue یا دیگر ابزارهای نفوذ که از آن‌ها با عنوان Shadow Brokers یاد می‌شود را تایید یا تکذیب نکرده است. برخی متخصصان امنیتی هم معتقدند Shadow Brokers از طرف دولت روسیه توسعه یافته و دولت کره شمالی هم پشت حملات باج‌افزار واناکرای بوده است. هر دو دولت، دست داشتن در توسعه این راهکارهای نفوذ را تکذیب کرده‌اند.

اولین موج حملات باج‌افزار جدید، در روسیه و اوکراین گزارش شده است. Rosneft یکی از بزرگ‌ترین تولیدکننده‌های نفتی روسیه اعلام کرده سیستم‌های این شرکت به شدت تحت تاثیر حملات باج‌افزار جدید قرار گرفته‌اند اما با توجه به استفاده از سیستم پشتیبان، تولید نفت در این شرکت تحت تاثیر قرار نگرفته است.

Pavlo Rozenko معاون نخست وزیر اوکراین نیز اعلام کرده شبکه کامپیوتری دولت این کشور از دسترس خارج شده و بانک مرکزی این کشور نیز از توقف سرویس‌دهی بانک‌ها و شرکت‌های مختلف و همچنین ایجاد اختلال در شبکه توزیع برق دولتی خبر داده است.

نام Moller-Maersk  از شرکت‌های نام آشنا در بازار توزیع مرسوله نیز در میان قربانیان دیده می‌شود. WPP به عنوان بزرگ‌ترین آژانس تبلیغاتی جهان نیز از‌آلودگی سیستم‌های خود خبر داده است. یکی از کارمندان WPP که خواسته نامش فاش نشود اعلام کرده مسئولان این شرکت به کارکنان اعلام کرده‌اند سیستم‌های خود را خاموش کنند.

یکی از شرکت‌های اوکراینی فعال در حوزه رسانه نیز از قطع دسترسی به شبکه کامپیوتری خود و مشاهده درخواست ۳۰۰ دلاری برای آزادسازی سیستم‌ها خبر داده است.

اسکرین‌شاتی که در شبکه ۲۴ تلویزیون اوکراین منتشر شده متنی با مضمون زیر را از طرف نفوذگران، پیش روی قربانیان قرار می‌دهد:

شاید مشغول یافتن راهکاری برای بازیابی فایل‌های خود هستید، در این صورت زمان را از دست ندهید. هیچ شخصی امکان بازیابی فایل‌های شما را بدون استفاده از سرویس رمزگشایی نخواهد داشت.

 بانک مرزی روسیه هم از موارد پراکنده آلودگی سیستم‌های آی‌تی به این باج‌افزار خبر داده است. در همین راستا، Home Credit هم مجبور شده سرویس‌دهی به مشتریان خود را متوقف کند. شرکت‌های دیگری که نام آن‌ها در لیست قربانیان مشاهده می‌شود عبارتند از شرکت فرانسوی Saint Gobain که در حوزه تولید مصالح ساختمانی فعالیت دارد، شرکت آمریکایی Merk & Co که در زمینه تولید محصولات دارویی فعالیت می‌کند و Royal Canin که محصولات غذایی ویژه حیوانات خانگی را به بازار عرضه می‌کند.

کارکنان شعبه هند Beiersdorf تولیدکننده محصولات مراقبت از پوست نیوآ و همچنین Reckitt Benckiser مالک Enfamil and Lysol نیز اعلام کرده‌اند باج‌افزار جدید، سیستم‌های کامپیوتری آن‌ها را نیز آلوده کرده است.

حملات ماه گذشته باج افزار واناکرای هنگامی کنترل شد که محقق امنیتی ۲۲ ساله بریتانیایی به نام Marcus Hutchins ابزاری را برای رصد و رهگیری این حملات توسعه داد. از این ابزار با عنوان سوئیچ مرگ (Kill Switch) یاد می‌شود. این در حالی است که متخصصان معتقدند باج‌افزاری که از روز سه‌شنبه آغاز به کار کرده سوئیچ مرگ نداشته و از همین رو احتمالا متوقف کردن آن سخت‌تر خواهد بود.

پلیس سایبری اوکراین با انتشار پیامی در توییتر اعلام کرده حفره امنیتی در نرم‌افزار استفاده شده توسط MEDoc، از شرکت‌های فعال در حوزه حسابداری، احتمالا نقطه شروع به آلودگی با این باج افزار جدید بوده است. این در حالی است که محققان شرکت امنیتی فلش پوینت هم معتقدند این باج‌افزار، با انتشار به‌روزرسانی‌های نرم‌افزاری غیرقانونی وارد سیستم‌ها شده است.

MEDoc با انتشار پستی در فیس‌بوک تایید کرده که سیستم‌های این شرکت هک شده‌اند اما آغاز حملات از سیستم‌های کامپیوتری این شرکت را تکذیب کرده است.

مشاور وزیر کشور اوکراین مدعی شده این باج افزار از طریق ایمیل‌های فیشینگ که مبدا ارسال آن‌ها در روسیه و اوکراین گزارش شده آلودگی سیستم‌ها را کلید زده است. بر اساس این گزارش‌، ایمیل‌های یادشده حاوی مستندات Word یا فایل‌های پی‌دی‌اف آلوده بوده‌اند.