newLocky.png
حملات فیشینگ جدید باج افزار لاکی قادر است ابزارهای یادگیری ماشین را فریب دهد.

زنجیره باج افزار های لاکی که اولین بار در فوریه 2016 کشف شد، نمونه ای از ذات خطرناک و مقاوم کمپین های اخاذی سایبری مدرن را نشان می دهد. روش کار عملگران این بدافزار به این صورت است که موج کوتاهی از حمله را راه می اندازند، برای مدتی خاموش می مانند و سپس دوباره ظاهر می شوند تا کسب و کارها و مشتریان را عذاب دهند.

تازه ترین این امواج آخر سپتامبر اتفاق افتاد و کسب و کارها را در نواحی مختلف مثل آمریکای شمالی، اروپا، جنوب شرق آسیا هدف قرار داد. آخرین حمله بات نتی، لشکری از کامپیوتر های زامبی را مثل حملات قبلی به خدمت گرفته بود تا ایمیل های فیشینگ قانع کننده ای را برای قربانی های احتمالی بفرستد.

یکی از ایمیل هایی که در کمپین فیشینگ استفاده شده بود طوری طراحی شده بود تا شبیه به یک سند اسکن شده از پرینتری که در سازمان قربانی وجود داشت، بنظر برسد. برای بیشتر کردن اطمینان، ایمیل فیشینگ شامل شماره یک نوع مدل پرینتر و اسکنر کونیکا که در محیط های کاری محبوبیت زیادی دارد، می شد.

ایمیل دومی که در کمپین های فیشینگ استفاده می شد مانند پرس و جوئی در مورد وضعیت فاکتور یک فروشنده بنظر می رسید. گیرندگانی که وسوسه می شدند این ضمیمه ها را باز کنند، لاکی را در سیستم شان دانلود می کردند. میانگین باج برای کلید رمزگشا بین 2000 تا 4000 دلار بود.
فاتح اروهان، معاونت رئیس آزمایشگاه تهدید کومودو گفت: " مهندسی اجتماعی که برای درگیر کردن قربانی ها استفاده شده بود با دقت زیادی طراحی شده بود تا ابزار های شناسایی بدافزار از جمله الگوریتم های یادگیری ماشین برای شناسایی ایمیل های فیشینگ نیز فریب دهد."
اروهان اضافه کرد: ضمیمه یکی از ایمیل ها برای مثال خروجی یک پرینتر بود، و شامل یک اسکریپت درون یک فایل آرشیوی بود.این برای شناسایی فیشینگ کافی نیست. الگوریتم های یادگیری ماشین باید بتوانند ضمیمه را استخراج کنند، آرشیو را باز کنند، اسکریپت را بیرون بکشند و بفهمند که ایمیل دارای محتوای مخرب است. به طور معمول ، این اسکریپت ها تنها یک مولفه دانلود دارند و به خودی خود دارای محتوای مخرب نیستند. برای اجرای پویای اسکریپت و دانلود محتوای واقعی و تحلیل بدافزار برای شناسایی فیشینگ، نیاز به اقدامات بیشتری است.

محققان امنیتی در کومودو ایمیل های مربوط به لاکی را در بیش از 110000 ایستگاه های کاری مشتریان در یک دوره سه روزه بین 17 تا 20 سپتامبر، شناسایی و تحلیل کردند.به گزارش کومودو، ایمیل هایی که به شکل خروجی پرینتر بود از چیزی حدود 120000 آدرس آی پی از دومین های 139  کشور مختلف فرستاده شده بود. ایمیل فیشینگی دیگری که در کمپین لاکی سپتامبر فرستاده شده بود از 12350 آدرس آی پی در 142 کشور فرستاده شده بود. به طور کل، آدرس های آی پی استفاده شده در حملات سپتامبر در نیمی از کشورهای جهان پخش شده بود.

خیلی از آدرس های آی پی به کامپیوترهای آلوده شده افراد تعلق داشت. اما سیستم هایی هم بودند که به آی اس پی ها تعلق داشتند.مهمتر اینکه تعداد قابل توجهی از سرورهای استفاده شده برای پخش ایمیل های فیشینگ همانند آنهایی بودند که در کمپین های قبلی هم از آنها استفاده شده بود. اورهان می گوید: همانطور که می دانیم اینها اکثرا سرورهای قربانی شده بودند، این حقیقت که آنها را برای حملات مختلف مورد استفاده قرار می دادند نشان می دهد که هیچ فرآیند اصلاحی در این سرور ها وجود ندارد.
خیلی از آی اس پی ها روی سیستم های آلوده شده مشتریانشان که برای فرستادن مداوم ایمیل های فیشینگ از آنها استفاده می شود، کنترل ندارند. " این امکان وجود دارد که آنها توانایی شناسایی در لحظه ایمیل های فیشینگ را نداشته باشند. وجود حملات پشت سرهم در هفته های متوالی نشان داد که آنها در امن کردن ترافیک شبکه ای که فراهم می آورند، بی کفایت هستند."

بدافزار لاکی در سال 2016 بیشترین میزان توزیع را داشت و آنطور که تا کنون بنظر می رسد بیشترین میزان توزیع را در این سال هم داراست. یکی از مهمترین قربانیان این بدافزار مرکز خدمات درمانی هالیوود بود که مجبور شد 17000 دلار بپردازد تا یک پایگاه داده حساس را که با بدافزار رمزگذاری شده بود، بازیابی کند.لازم بذکر است که حملات باج افزار هایی مثل WannaCry، Petya، NotPetya ، تهدیدات سایبری جهانی را تحت الشعاع قرار داده است، در نیمه اول سال 2017 حملات باج افزاری را در مقیاسی دیدیم که قبلا سابقه نداشت.