تانوس (Thanos) اولین باج‌افزاری است که از مدارک منتشر شده حاصل از تحقیقات در مورد نحوه فرار از RIPlace (نوعی فایل سیستم است که با استفاده از آن می‌توان روش‌های ضد باج‌افزاری را دور زد.) و چندین روش پیشرفته دیگر استفاده کرده و به همین دلیل بسیار خطرناک است.

نسخه اولیه Thanos با نام Quimera در اوایل اکتبر ۲۰۱۹ مشاهده شد که به صورت کاملا محدود انتشار یافته بود و از فعالیت‌های این باج‌افزار تا ژانویه ۲۰۲۰ هیچ گزارشی دریافت نشده بود.

زمانی که فعالیت آن شروع شد و آمار گزارشات آن افزایش پیدا کرد، به این باج‌افزار Hakbit گفته می‌شد.

در زمان انتشار این مقاله، با توجه به اطلاعات به دست آمده، متوجه شدیم که نام اصلی این باج‌افزار Thanos نام دارد و از فوریه در انجمن‌های یک سرویس دهنده باج‌افزار روسی، منتشر می‌شود.

در پست منتشر شده، از هکرها و منتشر کنندگان بدافزار خواسته شده تا Thanos را انتشار دهند. در ازای این کار افراد می‌توانند در۶۰ تا ۷۰% سود حاصل از این کمپین، شریک شوند.

افرادی که در انتشار این باج‌افزار همکاری دارند، به یک باج‎افزار ساز خصوصی دسترسی پیدا‌ می‌کنند که توانایی تولید باج‌افزارهای قابل اجرا را داراست.

اغلب باج‌افزارهایی که با زبان C# نوشته می‌شوند، پیچیدگی زیادی ندارند، اما Thanos دارای امکانات پیشرفته‌ای است که آن را از دیگر باج‌افزارها جدا می‌کند.

در نوامبر ۲۰۱۹، محققان Nyotron روش جدیدی برای دور زدن ضد باج‌افزارها منتشر کردند. در این گزارش گفته شده، زمانی که یک باج‌افزار نام فایلی را با استفاده از کد خاصی تغییر می‌دهد، ضد باج‌افزار در تشخیص آن ناتوان می‌ماند.

زمانی که این تحقیقات منتشر گردید، شرکت‌های امنیتی توجهی به آن نکرده و گفتند این تکنیک فقط در تئوری قابل اجراست، علاوه بر این، گزارشی مبنی بر چنین استفاده‌ای منتشر نشده است.

از بین شرکت‌های امنیتی که نتایج تحقیقات در اختیارشان قرار گرفته بود، تنها شرکت‌های Kaspersky و Carbon Black کدهای اپلیکیشن خود را تغییر دادند تا بتوانند با این روش مقابله کنند.

این آسیب‌پذیری بر روی قابلیت Controlled Folder Access مایکروسافت (یک ابزار پیش نصب شده در ویندوز ۱۰ برای مقابله با باج‌افزارها) نیز آزمایش شد، که نتوانست این حمله را تشخیص دهد.

گزارش حاصل از آزمایش به مایکروسافت ارسال شد و این شرکت در پاسخ چنین بیان کرد که تکنیک یاد شده یک آسیب‌پذیری محسوب نشده و شامل سرویس‌های امنیتی مایکروسافت نمی‌شود.

متن زیر نشان می‌دهد که حملات صورت گرفته توسط باج‌افزار Thanos کاملا هدفمند بوده و در سازمان‌های بزرگ چندین سرور به باج‌افزار آلوده شده‌اند.

هکرها مدام در حال توسعه باج‌افزارها و ابداع روش‌های جدید هستند. با در نظر گرفتن باج‌افزار فوق، می‌‌توان چنین نتیجه گرفت که فعالیت‌های محققان، روزنامه‌نگاران و توسعه دهندگان نیز در زیر ذره‌بین هکرها قرار دارد و با اطلاعاتی از این مشاهدات بدست می‌آورند، بدافزارهای خود را ارتقا می‌دهند.

نظرات

نظر (به‌وسیله فیس‌بوک)