انتشار باج‌افزار Scarabey از طریق پودمان RDP

به گزارش پایداری ملی، اتصال از راه دور مهاجمان از طریق پودمان Remote Desktop – به اختصار RDP – به دستگاه‌های با گذرواژه ضعیف و اجرای فایل مخرب باج‌افزار اصلی‌ترین روش انتشار این نسخه جدید از Scarab است.

در حالی که Scarab با Visual C نوشته شده، Scarabey با زبان برنامه‌نویسی Delphi و بدون بهره‌گیری از C++ Packing توسعه داده شده است.

همچنین بر خلاف اطلاعیه باج‌گیری Scarab که انگلیسی است، اطلاعیه نسخه جدید به زبان روسی نوشته شده که نمایانگر تمرکز اصلی گردانندگان این نسخه بر روی اهداف روسی زبان است. هر چند که به این معنای در امان بودن کاربران ایرانی از گزند Scarabey نیست.

از نکات قابل توجه در نسخه پیشین، وجود اشتباهات دستوری و نوشتاری در اطلاعیه باج‌گیری آن است. جالب اینکه در صورت ترجمه محتوای روسی اطلاعیه باج‌گیری Scarabey به زبان انگلیسی از طریق Google Translate، همان اشتباهات دستوری و نوشتاری تکرار می‌شود.

تفاوت دیگر این دو نسخه اینکه، بر خلاف Scarab که در آن به قربانی گفته می‌شود که عدم پرداخت باج در مدت تعیین شده منجر به افزایش مبلغ اخاذی شده می‌شود، در Scarabey به کاربر هشدار داده می‌شود که در صورت پرداخت نشدن باج ظرف 24 ساعت، 24 فایل از روی دستگاه حذف شده و این کار را تا زمانی که دیگری فایلی بر روی دستگاه باقی نمانده باشد ادامه می‌یابد.

با این حال بررسی‌های انجام شده نشان می‌دهد که حداقل این نسخه فاقد عملکرد حذف است. ضمن اینکه با وجود ادعای Scarabey مبنی بر در اختیار داشتن یک کپی از فایل‌های حذف شده هیچ عملیات کپی نیز صورت نمی‌گیرد. بنابراین حتی در صورت فعال بودن عملکرد حذف نیز باج‌افزار قادر به بازگردانی آنها نمی‌بود.

Scarabey را می‌توان در دسته باج‌افزارهایی قرار داد که از طریق پودمان RDP به سرورها و دستگاه‌ها رخنه و آنها را به خود آلوده می‌کنند.

پودمان RDP قابلیتی در سیستم عامل Windows است که امکان اتصال از راه دور کاربران تعیین شده را به دستگاه فراهم می‌کند.

علاوه بر مدیران شبکه که از این پودمان برای اتصال به سرورها و ایستگاه‌های کاری سازمان استفاده می‌کنند، در بسیاری از سازمان‌های کوچک و متوسط نیز از RDP برای برقرار نمودن ارتباط از راه دور پیمانکاران حوزه IT، به سرورهایی همچون حقوق و دستمزد، اتوماسیون اداری و غیره استفاده می‌شود.

تبهکاران سایبری از ابزارهایی همچون Shodan برای شناسایی سرورهای با درگاه RDP باز بر روی اینترنت استفاده کرده و در ادامه با بکارگیری ابزارهایی نظیر NLBrute اقدام به اجرای حملات موسوم به Brute Force می‌کنند.

هدف از اجرای حملات Brute Force رخنه به دستگاه از طریق پودمانی خاص – در اینجا RDP – با بکارگیری ترکیبی از نام‌های کاربری و رمزهای عبور رایج است. بنابراین در صورتی که دسترسی به پودمان RDP از طریق کاربری با رمز عبور ساده و غیرپیچیده باز شده باشد مهاجمان نیز به راحتی امکان اتصال به دستگاه را خواهند داشت.

در صورت فراهم شدن اتصال، مهاجمان نرم‌افزاری را بر روی سرور اجرا کرده و از آن برای دست‌درازی به تنظیمات و سرویس‌های نرم‌افزارهای ضدبدافزار، پشتیبان‌گیری و پایگاه داده نصب شده بر روی آن استفاده می‌کنند. در ادامه نیز فایل مخرب باج‌افزار را دریافت کرده و بر روی سرور به اجرا در می‌آورند.

رعایت موارد زیر برای جلوگیری و پیشگیری از اجرای موفقیت‌آمیز چنین حملاتی توصیه می‌شود:

بکارگیری ضدویروس به روز و قدرتمند

استفاده از دیواره آتش

استفاده از رمزهای عبور پیچیده

اطمینان از نصب بودن تمامی اصلاحیه‌های امنیتی

غیرفعال نمودن پودمان RDP در صورت عدم نیاز به آن

استفاده از پودمان VPN یا Virtual Private Network برای اتصال از راه دور کارکنان و پیمانکاران سازمان

بهره‌گیری از اصالت‌سنجی دو مرحله‌ای (2FA)، در صورت امکان

فعال کردن Account Lockout Policy در تنظیمات Group Policy

لازم به ذکر است که نمونه بررسی شده در این خبر با نام‌های زیر قابل شناسایی می‌باشد:

McAfee:

– GenericRXDM-JB!9A02862AC953

Bitdefender:

– Gen:Variant.Ransom.Scarab.3