افزایش فعالیت گروههای باج افزاری به طور واضحی بر روی سازمان ها در سراسر جهان اثر دارد. محققین امنیتی اخیرا کشف کرده اند که باج افزار Beast به طور فعال در حال حمله به سیستم های ویندوزی، لینوکسی و ESXi است.
این گروه باج افزاری از سال 2022 فعالیت خود را آغاز کرده است و از آن زمان به طور مداوم بدافزار خود را در جهت حمله به اهداف با سیستم عاملهای مختلف، توسعه میدهد.
این باج افزار از ترکیب رمزنگار ellipric-curve و ChaCha20 استفاده می کند و ویژگی های رمزنگاری فایل چند رشته، خاتمه فرایند و حذف Shadow Copy ها در سیستم های ویندوزی را دارد.
در نسخه های لینوکس و ESXi امکان تغییر مسیرهای رمزنگاری سفارشی و گزینه های خاموش کردن VM را دارد.
باج افزار مذکور از طریق ایمیل های فیشینگ، RDPهای در معرض خطر اندپوینتها و اسکن های شبکه SMB گسترش پیدا می کند. این باج افزار از RstrtMgr.dll برای دستکاری فایل ها قبل از رمزگذاری استفاده می کند.
به روز رسانی های اخیر شامل Offline builder بوده که برای پیکربندی ویندوز، NAS و ESXi است و نشان از سازگاری این گروه با تقاضاهای دیگر مجرمان سایبری است.
باج افزار Beast حمله خود را با حذف shadow copyها آغاز می کند. سپس با استفاده از multithreading اقدام به رمزنگاری همزمان چندین فایل می کند.
این باج افزار رنج وسیعی از انواع مختلف فرمت های فایل شامل اسناد، تصاویر، ویدیوها و پایگاه داده های موجود در تمامی دستگاههای متصل به شبکه را هدف قرار میدهد.
Beast از الگوریتم های رمزنگاری قدرتمندی برای غیرقابل دسترس کردن فایل ها بدون کلید رمزگشایی استفاده می کند.
طی انجام فرآیند رمزنگاری این باج افزار یک یادداشت باج تحت عنوان README.txt در هر دایرکتوری آسیب دیده قرار میدهد.
پیشنهادات
- نشانه های پیش از حملات باج افزاری را مدنظر داشته باشید.
- استفاده و ارتقا احراز هویت چندعاملی و مدیریت وصله ها
- فعالسازی ضد بدافزار (
- فعالسازی ضدباج افزار، محفاظت shadow copy و کنترل اپلیکیشنها
- به روز نگه داشتن سیستم ها
- بکاپ گیری منظم از فایل ها
- فعالسازی پیشگیری از انواع payloadها.
منبع:
cybersecuritynews.com