U3F1ZWV6ZTE1Njg4NDY3OTQ0X0FjdGl2YXRpb24xNzc3Mjg2OTg2NDQ=
recent
أخبار ساخنة

يسيء المتسللون استخدام ميزة Windows لإطلاق WastedLocker Ransomware للتهرب من الاكتشاف

يسيء المتسللون استخدام ميزة Windows لإطلاق WastedLocker Ransomware للتهرب من الاكتشاف

في الآونة الأخيرة ، يعد WastedLocker أحد أخطر برامج الفدية ، ويرجع الفضل في نجاحه إلى آلية تجاوز فريدة للحلول والأدوات الأمنية التي تحظر برامج الفدية.
في البداية ، ظهر WastedLocker هذا العام في مايو ، وهو جزء من ترسانة مجموعة مجرمي الإنترنت الشهيرة Evil Corp ، والتي تُعرف أيضًا باسم Dridex
تم استخدامه في الهجوم الدراماتيكي على شركة Garmin ، التي زُعم أنها دفعت لشركة Evil Corp 10 ملايين دولار مقابل أداة أو مفتاح فك تشفير الملفات. هذه واحدة من أحدث الحوادث في عدد متزايد من هجمات الفدية ضد المؤسسات الكبيرة.
بصرف النظر عن هذا ، قام الباحثون الأمنيون في Sophos بتحليل WastedLocker لفترة وجيزة واكتشفوا أنه يستخدم أدوات تكميلية لتجنب الاكتشاف.
خدعة الذاكرة 
ابتكر مطورو WastedLocker سلسلة من التكتيكات لتحفيز حلول مكافحة برامج الفدية القائمة على السلوك. تستخدم العديد من عائلات برامج الفدية التعتيم على الكود لتجنب الاكتشاف ، لكن منشئو WastedLocker أضافوا طبقة أخرى من الحماية إليه.
نظرًا لأن WastedLocker يتفاعل مع وظائف واجهة برمجة تطبيقات Windows مباشرة من الذاكرة ، حيث لا يمكن لأدوات اكتشاف برامج الفدية القائمة على السلوك الوصول إلى إساءة استخدام Windows لبدء تشغيل نفسه. هنا ، للتهرب من أدوات الأمان ، يقوم WastedLocker بتشفير الملفات على النظام المخترق باستخدام I / O المعين للذاكرة.

 WastedLocker Ransomware
تسمح هذه الطريقة لبرامج الفدية بتشفير المستندات المخزنة مؤقتًا في الذاكرة بشفافية دون التسبب في إدخال / إخراج قرص إضافي. عندما تكتشف أداة الأمان الإصابة ، فقد فات الأوان للقيام بأي شيء أو اتخاذ أي إجراءات أخرى لنزع فتيلها.
العلامات الأولى للهجوم هي الملفات المشفرة بالفعل ومذكرة الفدية. إذا تمكن المهاجمون من الحصول على بيانات اعتماد المسؤول ، فيمكنهم الاتصال بسهولة بشبكة VPN أو تعطيل أدوات الأمان المثبتة على الأنظمة المتأثرة.
تطور الكود
  1. إساءة استخدام مصادر البيانات البديلة (ADS)
  2. طريقة حل API مخصصة
  3. تجاوز UAC
  4. طرق التشفير
  5. تكوين مذكرة الفدية
  6. نمط مماثل من وسيطات سطر الأوامر
علاوة على ذلك ، في حالة عدم وجود مصادقة ثنائية ، يمكن لممثلي التهديد تسجيل الدخول بسهولة إلى لوحات RDP و VPN و admin. لذلك ، لتجنب هذه الأنواع من التهديدات السيبرانية ، يجب عليك دائمًا تحديث نظام تشغيل نظامك ، واستخدام VPN ، وحلول أمان موثوقة ، وحل نسخ احتياطي موثوق للبيانات.
الاسمبريد إلكترونيرسالة