موج دوم باج‌خواهی جهان را درنوردید

همشهری آنلاین: هکرها چند هفته پس از حمله وسیع باج‌خواهی سایبری که سرتاسر جهان را تحت تاثیر خود قرار داد، روز ۲۷ ژوئن ۲۰۱۷ حمله باج‌خواهی دیگری علیه شرکت‌ها و آژانس‌های سرتاسر جهان آغاز کردند و به صورت ویژه کسب‌و‌کارهای اوکراینی را هدف گرفته‌اند.

براساس گزارش CNN، شركت‌هاي بزرگ بين‌المللي نظير شركت تبليغاتي WPP در بريتانيا، غول نفت و گاز روسيه روزنف و شركت حمل و نقل دانماركي مائرسك در حساب‌هاي توئيتري خود خبر داده‌اند كه قرباني حمله سايبري باج‌خواهي شده‌اند. شركت داروسازي آمريكايي Merck نيز خبري مشابه را منتشر ساخته‌است.

شركت Mondelez كه مالكيت بسياري از اسنك‌هاي مشهور جهاني مانند بيسكوئيت‌هاي اورئو را در اختيار دارد گزارش كرده كه اين هجوم سايبري عملياتي جهاني بوده‌است. شركت حقوقي DLA نيز اعلام كرد سيستم‌هاي خود را در واكنش به رويداد سايبري جهاني از دسترس خارج كرده‌است.

منبع و منشا اين حمله هنوز مشخص نشده‌است، اما شباهت زيادي به باج‌خواهي سايبري گسترده‌اي دارد كه در ماه مي در سرتاسر جهان اجرا شد، اما تفاوت‌هايي نيز ميان اين دو حمله وجود دارد. در هردو حمله از قربانيان درخواست شده‌است كه در ازاي دسترسي دوباره به فايل‌هايشان مبلغي پول را توسط پول مجازي بيت‌كوين پرداخت كنند و هردو حمله از جريان توزيع يكساني در شبكه‌ها برخوردارند.

شركت امنيت سايبري Group IB در مسكو روز سه‌شنبه 27 ژوئن 2017 تخمين زد كه درحدود 80 درصد از شركت‌ها در روسيه و اوكراين به قرباني اين حمله جديد شده‌اند. به گفته اين شركت، باج‌افزار جديد رايانه را آلوده ساخته و قفل مي‌كند و سپس درازاي آزاد‌سازي فايل‌ها درخواست 300 دلار در قالب بيت‌كوين مي‌كند.

بسياري از شركت‌ها از جمله شركت سايمنتك براين باورند باج‌افزار جديد نسلي از باج‌افزاري مشهور به نام پتيا است. اما يافته‌هاي اوليه شركت كسپرسكي نشان از آن دارد كه اين حمله توسط باج‌افزاري كاملا جديد به نام ExPetr صورت گرفته‌است. محققان همچنين معتقدند اين باج‌افزار از نقص امنيتي در ويندوز به نام EternalBlue براي توزيع در ميان شركت‌ها استفاده كرده‌است. باج‌افزار WannaCry نيز از همين نقص امنيتي براي نفوذ به رايانه‌ها بهره برده‌بود، نقصي كه در راستاي ايجاد ابزارهاي هك توسط سازمان امنيت ملي آمريكا ايجاد شده‌است.

مايكروسافت مي‌گويد اين حملات باج‌خواهي از تكنيك‌هاي مختلفي براي پخش شدن در ميان سيستم‌ها استفاده كرده‌اند، و اين شركت هنوز درحال بررسي شرايط ايجاد شده‌است. وزارت امنيت داخلي آمريكا و پليس اروپا نيز درحال بررسي اين حملات سايبري هستند.

به نظر مي‌رسد شركت‌ها و آژانس‌هاي دولتي در اوكراين اصلي‌ترين قربانيان اين حمله هستند. بانك مركزي اوكراين به شركت‌هاي مالي در سرتاسر كشور هشدار داده‌است كه ويروسي ناشناخته اين بخش را مورد هجوم خود قرار داده‌است، و مشكلاتي را براي بانك‌ها و خدمات مخصوص مشتريان ايجاد كرده‌است.

براساس گزارش شركت Cisco Talos باج‌افزار ابتدا بخشي از نرم‌افزار حسابداري اوكراين به نام MeDoc را به خود آلوده كرده‌است و سپس فايلي آلوده را براي مشتريان بانك‌ها فرستاده‌است و اين كار را با بهره گرفتن از نقص امنيتي نرم‌افزاري در سيستم‌ها و شبكه‌هاي ديگر توسعه داده‌است. مقامات اوكرايني نقش فايل MeDoc را در اين حمله تاييد كرده‌اند.

به گفته كرگ ويليامز مدير ارشد فني شركت Cisco Talos اين حمله جديد بسيار پيشرفته‌تر از WannaCry است. خدمات پست و مترو نيز در اوكراين قرباني اين حمله شده‌اند و ابعاد اين خرابكاري تا رايانه‌هاي اعضاي كابينه دولت اوكراين نيز گسترده شده‌است.

نيروگاه اتمي چرنوبيل از ديگر قربانيان اين حمله سايبري بوده‌است. به گفته آژاني فدرال اوكراين، وب‌سايت اين نيروگاه در ارتباط با حمله اخير از دسترس خارج شده‌است و سيستم‌هاي ويندوز در اين نيروگاه از شبكه قطع شده‌اند و نظارت بر آلودگي تشعشعات راديواكتيو در اين منطقه صنعتي به صورت دستي آغاز شده‌است.

به قربانيان باج‌خواهي سايبري توصيه شده‌است كه براي بازگرداندن فايل‌هاي خود باجي پرداخت نكنند زيرا اين‌كار باعث تشويق مهاجمان مي‌شود. بهترين راه براي مهار اين حملات به‌روز‌رساني سيستم‌هاي عامل و تهيه نسخه پشتيبان از فايل‌ها و اطلاعات است.