إن Cactus هو عملية خطف جديدة تم العمل بها منذ مارس على الأقل. تستهدف المجموعة الكيانات التجارية الكبيرة وقد استغلت الثغرات في أجهزة VPN للحصول على الوصول الأولي إلى شبكات الضحايا. يعتقد الباحثون في كرول أن Cactus يستخدم دفعة مخطط للحصول على ملف تشفير باستخدام 7-Zip. يتم تنفيذ الملف الثنائي ثم يتم نشره مع علامة محددة تسمح له بالتنفيذ. ما يميز Cactus عن عمليات الفدية الأخرى هو استخدامها للتشفير لحماية الملف الثنائي للفدية. يساعد التشفير في تجنب البرامج الضارة وأدوات مراقبة الشبكة.
بالاضافة الى ان Cactus يشفر نفسه، مما يجعل من الصعب كشفه. كما يستخدم مهاجمو الأمان مفتاح AES فريدًا لفك تشفير ملف التكوين لبرامج الفدية والمفتاح العام RSA المطلوب لتشفير الملفات. ويتوفر المفتاح كسلسلة HEX مدمجة في ملف التشفير الثنائي. وفك شفرة السلسلة HEX يوفر قطعة من البيانات المشفرة التي تفتح مع المفتاح AES. وتشغيل الملف الثنائي مع المفتاح الصحيح للمعلمة -i (التشفير) يفتح المعلومات ويسمح للبرامج الضارة بالبحث عن الملفات وبدء عملية تشفير متعددة الموضوعات.
الصبار لديه ثلاثة أوضاع رئيسية للتنفيذ: الإعداد (-s) ، وقراءة التكوين (-r) ، والتشفير (-i). وتسمح الخيارات -s و -r للمهاجمين بإعداد الثبات وتخزين البيانات في ملف C:\ProgramData\ntuser.dat يتم قراءته في وقت لاحق من قبل الشفر المشغل باستخدام خيار سطر الأوامر -r. ولكي يكون التشفير ممكنًا، يجب توفير مفتاح AES فريد يعرفه المهاجمون فقط باستخدام خيار سطر الأوامر -i.
اما بالنسبة لتحليل الخبير في برامج الفدية الرقمية مايكل جيليسبي كيف يُشفر البيانات ببرنامج "كاكتس" وأوضح أن البرمجيات الخبيثة تستخدم عدة امتدادات للملفات التي تستهدفها، حسب حالة المعالجة. عند إعداد الملف للتشفير، يغير "كاكتس" امتداده إلى .CTS0. بعد التشفير، ويصبح الامتداد .CTS1. ولدى "كاكتس" أيضًا "الوضع السريع"، وهو شبيه بتمريرة تشفير خفيفة. ويؤدي تشغيل البرمجية الخبيثة في وضعين سريع وعادي على التوالي إلى تشفير نفس الملف مرتين وإضافة امتداد جديد بعد كل عملية (على سبيل المثال، .CTS1.CTS7).
لاحظ كرول أن الرقم في نهاية امتداد .CTS يختلف في عدة حوادث يعزى سببها لبرمجيات الفدية الثعلب. فإن العاملين في هذه التهديدات يسعون للحصول على مدفوعات كبيرة من ضحاياهم، واستخدامهم للتشفير لحماية البرمجية الخبيثة هو تكتيك فريد من نوعه. فإن Cactus هو مثال على الطبيعة المتطورة والمعقدة باستمرار لهجمات الفدية. ومن الضروري الحفاظ على تحديث الأنظمة وتطبيق إجراءات أمنية قوية لحماية أنفسنا من هذه التهديدات.
لتضمن أن تصلك جديد مقالات ودروس تقنية اون لاين عليك القيام بثلاث خطوات : قم بالإشتراك فى صفحتنا فى الفيس بوك "الافضل للتقنية " . قم بالإشتراك فى القائمة البريدية أسفل الموقع وسيتم إرسال إيميل لك فور نشر درس جديد . للحصول على الدروس فيديو قم بالإشتراك فى قناتنا على اليوتيوب "قناة تقنية اون لاين " . من فضلك إذا كان عندك سؤال مهما كان بسيطاً تفضل بكتابته من خلال صندوق التعليقات أسفل الموضوع . قم بنشر مقالات اتقنية اون لاين على الفيس بوك أو ضع رابطاً للمدونه فى مدونتك .تحياتى لكم from واتس آب ، فيسبوك ، أنترنت ، شروحات تقنية حصرية - المحترف
0 التعليقات:
إرسال تعليق