شرکت هاست وب در ازای بازگرداندن فایل های خود یک میلیون دلار به هکر ها پرداخت می کند

هم رسان: تامین کننده هاست وب کره جنوبی با پرداخت یک میلیون دلار بیت کوین به هکرها موافقت کرد. این شرکت پس از آلوده شدن 153 سرور به وسیله یک باج افزار لینوکسی که 3400 وب سایت تجاری و اطلاعات آنها را رمزگذاری کرد، مجبور به گرفتن این تصمیم شد.

به گزارش پایگاه خبری هم رسان به نقل از هکرنیوز، طبق پست منتشر شده توسط شرکت هاست وب NAYANA این اتفاق ناگوار در 20 خرداد اتفاق افتاده است و به این ترتیب بدافزار باج گیر به سرور های هاست این شرکت حمله کرده و مهاجمان تقاضای 550 بیت کوین معادل با بیش از یک میلیون دلار برای برداشتن قفل فایل های رمزگذاری شده کردند.
با این حال، این شرکت طی مذاکراتی که با مجرمان سایبری انجام داد موافقت کرد که 397.6 بیت کوین (حدود 1.01 میلیون دلار) را در سه مرحله پرداخت کند تا فایل های شرکت را رمزگشایی کنند.
این شرکت تاکنون بخشی از مقدار توافق شده را در دو مرحله به مهاجمان پرداخت کرده است و باقیمانده این مبلغ را پس از بازیابی دو سوم از اطلاعات سرورهای آلوده خود پرداخت خواهد کرد.
بنا به اظهارات مسئولین شرکت امنیتی Trend Micro، باج افزار به کار رفته در این حمله Erebus است که برای اولین بار در شهریور سال گذشته شناسایی شد و در بهمن ماه نیز با قابلیت های فرعی User Account Control ویندوز مشاهده شد.

از آنجایی که سرورهای هاستینگ بر روی لینوکس کرنل 2.6.24.2 اجرا می شدند، محققان معتقدند که ممکن است باج افزار لینوکسی Erebus از آسیب پذیری های شناخته شده مانند DIRTY COW و یا اکسپلویت های لینوکسی محلی برای دسترسی به ریشه این سیستم استفاده کرده باشد.
محققان می گویند نسخه آپاچی که NAYANA استفاده می کند به عنوان کاربر nobody اجرا می شود که نشان می دهد ممکن است از یک اکسپلویت محلی برای این حمله استفاده شده باشد. به علاوه، وب سایت NAYANA از آپاچی نسخه 1.3.36 و PHP 5.1.4 استفاده می کند که هر دوی آنها پیش از سال 2006 منتشر شده اند.
Erebus باج افزاری که عمدتا کاربران کره جنوبی را مورد هدف قرار داده است، اسناد آفیس، پایگاه های داده، آرشیو ها و فایل های چندرسانه ای را با استفاده از الگوریتم RSA-2048 رمزگذاری می کند و سپس پیش از نمایش هشدار باج گیری یک ضمیمه .ecrypt به آنها پیوست می کند.
محققان همچنین اضافه کرده اند این فایل ابتدا با رمزگذاری RC4 در بلوک های 500 کیلوبایت با کلید های تصادفی کار خود را به زحمت شروع می کند. سپس کلید RC4 با الگوریتم رمزنگاری AES، که در فایل ذخیره می شود، رمزگذاری می شود. کلید AES نیز مجددا با استفاده از الگوریتم RSA-2018 رمزگذاری می شود که این الگوریتم نیز در فایل ذخیره می شود.
یک کلید مشترک که به صورت محلی ایجاد می شود به اشتراک گذاشته می شود، در حالی کلید خصوصی با استفاده از رمزگذاری AES و دیگر کلید تصادفی ایجاد شده رمزگذاری می شود.

بر اساس تجزیه و تحلیل های محققان شرکت Trend Micro، برداشتن قفل فایل های آلوده بدون به دست آوردن کلید های RSA امکان پذیر نخواهد بود.
بنابراین، تنها راه امن برای مقابله با حملات باج افزارها پیشگیری است. همانطور که قبلا توصیه شده است، بهترین دفاع در برابر باج افزارها، آگاهی سازی در درون سازمان ها و همچنین حفظ پشتیبان هایی است که به طور مرتب در حال تغییر هستند.
اکثر ویروس ها با باز کردن فایل های آلوده یا کلیک بر روی پیوندهای مخرب در ایمیل های اسپم شناسایی شده اند. بنابراین، بر روی لینک های موجود در ایمیل ها و پیوست های دریافت شده از منابع ناشناس کلیک نکنید.
علاوه بر این، اطمینان حاصل کنید که سیستم های شما آخرین نسخه از برنامه های نصب شده را اجرا می کنند.