مرکز امنیت و‌ رخدادهای‌ سایبری | APK

BlackRouter، باج‌افزاری برای Remote Desktopها

BlackRouter ، باج‌افزاری برای Remote Desktopها

یک باج‌افزار به نام BlackRouter که به تازگی کشف شده است از طریق ابزار ریموت دسکتاپ شناخته‌شده‌ای به نام AnyDesk به همراه Payload مخرب پخش می‌شود.

AnyDesk یک ابزار ریموت دسکتاپ با کاربرد گسترده و شبیه به Teamviewer است که توانایی کنترل Remote دو طرفه بین سیستم عامل‌های دسکتاپ متفاوت، از جمله ویندوز، macOS، Linux و FreeBSD و همچنین دسترسی یک‌طرفه روی Android و iOS را دارد.

مجرمان سایبری با سوء استفاده از ابزارAnyDesk  اقدام به نفوذ به سیستم قربانی و انتشار Ransomware جدید BlackRouter می‌نمایند. در واقع این باج‌افزار به گونه‌ای رفتار می‌کند که از دید نرم‌افزارهای امنیتی پنهان بماند.

در ابتدا انتشار این باج‌افزار، از قربانیانی آغاز می‌شود که ناخواسته، آن را از وب‌سایت‌های مخرب یا در معرض خطر، دانلود کرده‌اند. سپس این باج‌افزار دو فایل متفاوت زیر را در کامپیوتر قربانی قرار می‌دهد و آن‌ها را اجرا می‌نماید، تا فرایند تخریب پیش برود:

  • %User Temp%\ANYDESK.exe
  • %User Temp%\BLACKROUTER.exe

اولین فایل حاوی AnyDesk است که می‌تواند انتقال فایل انجام دهد، چت Client به Client ارائه دهد و همچنین می‌تواند ازSession‌ها گزارش بگیرد. لازم به ذکر است که در این مورد مهاجمین از نسخه‌ی قدیمی AnyDesk استفاده می‌نمایند نه نسخه‌ی جدید. فایل دوم که به باج‌افزارBlackRouter  اصلی اشاره دارد فایل‌های سیستم آلوده مانند انواع مختلف فایل از جمله gif ، .mp4 ، .pdf ، .xls. و غیره  را رمزگذاری می‌نماید.

بر اساس گفته‌ی شرکت Trend Micro، در فرایند آلوده‌سازی، AnyDesk در پس‌زمینه‌ی سیستمِ مربوطه اجرا می‌گردد و باج‌افزار BlackRouter در پوشه‌ها‌ی زیر فایل‌ها را جستجو کرده و آنها را رمزگذاری می‌نماید:

  • %Desktop%
  • %Application Data%
  • %AppDataLocal%
  • %Program Data%
  • %User Profile%
  • %System Root%\Users\All Users
  • %System Root%\Users\Default
  • %System Root%\Users\Public
  • تمامی درایو‌ها به غیر از %System Root%

پس از تکمیل فرایند رمزگذاری، BlackRouter پیام‌هایی را برای باج گرفتن نمایش می‌دهد که حاوی اطلاعاتی دقیق‌ در مورد این هستند که چه اتفاقی ممکن است در سیستم آلوده رخ دهد. سپس BlackRouter می‌خواهد که کاربر 50$ به صورت بیت‌کوین پرداخت کند تا دسترسی به فایل‌های قفل‌شده فراهم گردد و گفته می‌شود زمانی که کاربر مقدار باج را پرداخت کند کلید رمزگشایی را از طریق تلگرام دریافت خواهد کرد. همچنین به قربانیان هشدار می‌دهد که کامپیوتر خود را خاموش نکنند و اگر این کار را بکنند همه‌ی فایل‌های رمزگذاری شده برای همیشه قفل خواهد ماند.

بنا به گفته محققان، ممکن است مجرمان سایبری در حال آزمایش با AnyDesk به عنوان یک جایگزین باشند، زیرا توسعه‌دهندگان Teamviewer سوءاستفاده از آن را به رسمیت شناخته و ضدبدافزار را در برخی از ابزار‌ها اضافه نموده‌اند.

اشتراک امنیت

دسته ها