باج‌افزار کنتی تهدید جدیدی است که به صورت هدفمند به شبکه شرکت‌های بزرگ حمله می کند. این باج‌افزار قابلیت‌های نوینی دارد که امکان انجام حملات هدفمند بیشتر با سرعت عمل بالاتر را فراهم می‌کند. علاوه بر این، بررسی‌ها نشان می‌دهد که کدهای استفاده شده در این باج‌افزار شباهت زیادی به ریوک دارد (که امروزه به ندرت دیده می‌شود). باج‌افزا کنتی در حال حاضر به سرعت در حال انتشار است.

باج‌افزار کنتی در اوایل تیر ماه امسال زیر ذره بین قرار گرفت. این بدافزار برای اولین بار در آذر سال ۹۸ دیده شد. به مرور حملات انجام گرفته از طریق این بدافزار افزایش یافت. زمانی که آمار قربانیان این باج افزار در وب سایت ID Ransomware افزایش یافت، مورد توجه همگانی قرار گرفت.

همانند باج‌افزارهای دیگر، ابتدا اپراتورهای کنتی به شبکه سازمان مورد نظر نفوذ می‌کنند و پس از اینکه موفق به ایجاد دسترسی سطح ادمین شدند، باج‌افزار را پیاده سازی کرده و فایل‌ها و سیستم‌های قربانی را رمزنگاری می‌کنند.

شباهت ریوک و کنتی

در مرداد ۹۶ باج‌افزاری به نام هرمس (Hermes) در یکی از انجمن‌های هکینگ توسط یک هکر روسی به فروش می‌رسید. برخی بر این باورند که باج‌افزار هرمس با کمی تغییر به ریوک تبدیل شده است.

این طور به نظر می‌رسد که برنامه‌نویسان این باج‌افزار بعد از کمی تغییر و دستکاری در کدهای ریوک، تصمیم گرفتن نام آن را هم به کنتی تغییر دهند. این نام از کدهای استفاده شده در نسخه دوم ریوک گرفته شده‌است.

علاوه بر کدها، پیام درخواست وجه نمایش داده شده به کاربر شباهت بسیاری به مدل استفاده شده در ریوک دارد.

متن بالا یک نمونه از این پیام‌ها بوده که در آن به صورت دقیق و با جزئیات بالا به قربانی توضیح داده شده که در شبکه آنها قابل نفوذ است. علاوه بر این تاکید شده که اپراتورها نیازی به اطلاعات قربانی ندارند و حتی خودشان را کلاهبردار هم نمی‌دانند. در صورت پرداخت وجه مورد نظر که در مکاتبات بعدی به کاربر ایمیل می‌شود، علاوه بر رمزگشا، روش حل آسیب پذیری شبکه نیز به قربانی وعده داده شده‌است.

با مدارک فعلی نمی‌توان  به طور قطع گفت که باج‌افزار کنتی نسخه جدید ریوک است.

نکاتی در مورد باج‌افزار کنتی:

بنابر گفته محققان این بدافزار قبل از شروع به رمزنگاری فایل‌ها، ۱۴۶ سرویس ویندوز که به مباحث امنیتی، بکاپ گیری، ایمیل و بانک اطلاعاتی مربوط است را غیر فعال می کند. در مرحله بعدی تمامی shadow copy های ویندوز را پاک کرده و سپس رمزنگاری را آغاز می‌کند.

پس از اینکه رمزنگاری به اتمام رسید، فایل‌ها با پسوند .CONTI ذخیره می‌شوند و در داخل هر پوشه یک فایل متنی با نام CONTI_README.txt قرار داده می‌شود.

به گفته محققان در این باج افزار ابتدا رمزنگاری با الگوریتم AES-256 انجام گرفته و در مرحله دوم از الگوریتم RSA-4096 استفاده می شود و مهم‌تر اینکه کلید رمزنگاری هر قربانی مخصوص می باشد.

میانگین وجه درخواستی برای این باج‌افزار زیر ۱۰۰ هزار دلار بوده که برای این قبیل حملات، رقم بسیار پایینی محسوب می‌شود.

نظرات

نظر (به‌وسیله فیس‌بوک)