از مترو و فرودگاه اوکراین تا آژانس خبری روسی: آلودگی گسترده سیستم‌های کامپیوتری در اروپا به باج افزار خرگوش بد

موج جدیدی از حملات یک باج افزار مدرن به نام خرگوش بد، روی اهداف مشخصی در روسیه و اروپای شرقی رصد شده است. چند شرکت امنیتی از جمله کسپرسکی و ESET نیز در خصوص گسترش چشمگیر حملات پایه‌ریزی شده با استفاده از Bad Rabbit هشدار داده‌اند.

بر اساس گزارش شرکت امنیتی روسی Group-IB، نفودگران با استفاده از بدافزار جدیدی به نام Bad Rabbit موفق شده‌اند چند هدف مشخص از جمله آژانس خبری Interfax را در روسیه هدف حملات خود قرار دهند. بدافزار خرگوش بد، با آلوده کردن سیستم‌های کامپیوتری، پیغامی را در قالب فونت‌های قرمز رنگ روی پس‌زمینه‌ای به رنگ سیاه به نمایش می‌گذارد. پیغامی که از قربانی درخواست می‌کند تا با استفاده از Tor وارد وب‌سایتی خاص شده و ۰.۰۵ بیت کوین برابر با حدود ۲۸۲ دلار را برای دسترسی مجدد به اطلاعات، به حساب نفوذگران واریز کند. نکته قابل توجه اینکه در فضای سایت یادشده، شمارشگر معکوسی با بازه زمانی ۴۰ ساعته به چشم می‌خورد که در صورت واریز نشدن وجه توسط قربانی در بازه زمانی یادشده، افزایش قیمت را برای رمزگشایی اطلاعات در دستورکار قرار می‌دهد. در حال حاضر، هنوز مشخص نیست این حملات توسط چه اشخاص یا گروه‌هایی مدیریت شده، دامنه آلودگی آن چقدر بوده یا سرمنشا آن کجا است؟! با وجود این، Interfax به عنوان یک آژانس خبری سرشناس، در حساب توییتری خود اعلام کرده در پی این حملات سایبری، اختلالات گسترده‌ای را در سرورهایش شاهد بوده است. فرودگاه Odessa در اوکراین نیز یکی دیگر از اهدافی است که آماج حملات نفوذگران توسعه دهنده باج افزار خرگوش بد قرار گرفته است. CERT-UA به عنوان آژانس مدیریت موارد اورژانسی در حوزه سایبر کشور اوکراین نیز با اعلام هشدار، از راه‌اندازی موج جدید حملات سایبری علیه مواضع استراتژیک در این کشور خبر داده است. البته در این هشدار، به‌طور مستقیم به نام باج افزار خرگوش بد اشاره‌ای نشده است.

سخنگوی Group-IB اعلام کرده حجم تازه‌ای از حملات سایبری به واسطه استفاده از باج افزار خرگوش بد، متوجه شرکت‌های فعال در حوزه تولید محتویات چندرسانه‌ای نظیر Interfax و Fontanka شده است. این مقام مسئول، از فرودگاه Odessa، متروی Kiev اوکراین و حتی وزرات زیرساخت اوکراین به عنوان دیگر مقاصد حملات توسعه‌دهندگان خرگوش بد یاد کرده است. آزمایشگاه کسپرسکی نیز اعلام کرده اکثر آلودگی‌های خرگوش بد را در روسیه رصد کرده است. علاوه بر این، آلودگی‌های گسترده‌ای هم در اوکراین، ترکیه و آلمان رصد شده است. کسپرسکی از حملات پایه‌ریزی شده برپایه استفاده از خرگوش بد، به عنوان حملاتی با هدف آلوده کردن شبکه‌های سازمانی و شرکتی یاد کرده است.

در گزارش کسپرسکی اینچنین می‌خوانیم:

بر اساس اطلاعات واصله، اکثر قربانیان حملات باج افزار خرگوش بد در روسیه حضور دارند. علاوه بر این، حملاتی را هرچند به طور محدودتر در اوکراین، ترکیه و آلمان رصد کرده‌ایم. این باج افزار، دستگاه‌ها و شبکه‌های کامپیوتری را به واسطه سواستفاده از مجموعه‌ای از وب‌سایت‌های هک شده روسی، آلوده می‌کند. بر اساس تحقیقات ما، این باج افزار از راهکارهایی مشابه با آنچه در حملات [NotPetya] ExPetr استفاده شده بود برای آلوده کردن سیستم‌های کامپیوتری استفاده می‌کند.

ESET یکی دیگر از شرکت‌های امنیتی که مقر آن در جمهوری چک قرار گرفته نیز راه‌اندازی کمپین حمله به واسطه استفاده از باج افزار خرگوش بد را تایید کرده است. این شرکت در پستی که در وبلاگ آن منتشر شده است مدعی شده حداقل در حملات به مترو شهر Kiev اوکراین، بدافزار رصد شده را می‌توان نسل جدیدی از باج افزار Petya به حساب آورد. ESET اعلام کرده در بررسی‌های خود، صدها مورد آلوده را رصد کرده است. در نظر داشته باشید که NotPetya‌ نیز گونه‌ای مشتق شده از بدافزار Petya به حساب می‌آید.

یکی از محققان Proofpoint اعلام کرده Bad Rabbit از طریق یک نصاب جعلی ویژه Adobe Flash Player گسترش یافته است. این در حالی است که محققان کسپرسکی نیز این موضوع را تایید کرده‌اند. در طرف مقابل، ESET اعلام کرده به روزرسانی جعلی Flash تنها راهی نیست که به گسترش خرگوش بد کمک کرده است. به بیان کامل‌تر، این باج‌افزار سعی می‌کند کامپیوترهای فعال در یک شبکه محلی را از طریق پروتکل به اشتراک‌گذاری اطلاعات در ویندوز (SMB) آلوده کند.

VirusTotal مدعی شده در حال حاضر تعداد محدودی از نرم‌افزارهای ضدویروس موفق به شناسایی این باج افزار شده‌اند. یکی از محققان مکافی هم اعلام کرده خرگوش بد طیف وسیعی از فایل‌ها شامل نمونه‌هایی با پسوند .doc، .docx، .jpg و مجموعه‌ای از فرمت‌های متداول را رمزگذاری کرده و برای رمزگشایی آن‌ها، از کاربر باج‌گیری می‌کند.