باجافزار کنتی تهدید جدیدی است که به صورت هدفمند به شبکه شرکتهای بزرگ حمله می کند. این باجافزار قابلیتهای نوینی دارد که امکان انجام حملات هدفمند بیشتر با سرعت عمل بالاتر را فراهم میکند. علاوه بر این، بررسیها نشان میدهد که کدهای استفاده شده در این باجافزار شباهت زیادی به ریوک دارد (که امروزه به ندرت دیده میشود). باجافزا کنتی در حال حاضر به سرعت در حال انتشار است.
باجافزار کنتی در اوایل تیر ماه امسال زیر ذره بین قرار گرفت. این بدافزار برای اولین بار در آذر سال ۹۸ دیده شد. به مرور حملات انجام گرفته از طریق این بدافزار افزایش یافت. زمانی که آمار قربانیان این باج افزار در وب سایت ID Ransomware افزایش یافت، مورد توجه همگانی قرار گرفت.
همانند باجافزارهای دیگر، ابتدا اپراتورهای کنتی به شبکه سازمان مورد نظر نفوذ میکنند و پس از اینکه موفق به ایجاد دسترسی سطح ادمین شدند، باجافزار را پیاده سازی کرده و فایلها و سیستمهای قربانی را رمزنگاری میکنند.
شباهت ریوک و کنتی
در مرداد ۹۶ باجافزاری به نام هرمس (Hermes) در یکی از انجمنهای هکینگ توسط یک هکر روسی به فروش میرسید. برخی بر این باورند که باجافزار هرمس با کمی تغییر به ریوک تبدیل شده است.
این طور به نظر میرسد که برنامهنویسان این باجافزار بعد از کمی تغییر و دستکاری در کدهای ریوک، تصمیم گرفتن نام آن را هم به کنتی تغییر دهند. این نام از کدهای استفاده شده در نسخه دوم ریوک گرفته شدهاست.
علاوه بر کدها، پیام درخواست وجه نمایش داده شده به کاربر شباهت بسیاری به مدل استفاده شده در ریوک دارد.
متن بالا یک نمونه از این پیامها بوده که در آن به صورت دقیق و با جزئیات بالا به قربانی توضیح داده شده که در شبکه آنها قابل نفوذ است. علاوه بر این تاکید شده که اپراتورها نیازی به اطلاعات قربانی ندارند و حتی خودشان را کلاهبردار هم نمیدانند. در صورت پرداخت وجه مورد نظر که در مکاتبات بعدی به کاربر ایمیل میشود، علاوه بر رمزگشا، روش حل آسیب پذیری شبکه نیز به قربانی وعده داده شدهاست.
با مدارک فعلی نمیتوان به طور قطع گفت که باجافزار کنتی نسخه جدید ریوک است.
نکاتی در مورد باجافزار کنتی:
بنابر گفته محققان این بدافزار قبل از شروع به رمزنگاری فایلها، ۱۴۶ سرویس ویندوز که به مباحث امنیتی، بکاپ گیری، ایمیل و بانک اطلاعاتی مربوط است را غیر فعال می کند. در مرحله بعدی تمامی shadow copy های ویندوز را پاک کرده و سپس رمزنگاری را آغاز میکند.
پس از اینکه رمزنگاری به اتمام رسید، فایلها با پسوند .CONTI ذخیره میشوند و در داخل هر پوشه یک فایل متنی با نام CONTI_README.txt قرار داده میشود.
به گفته محققان در این باج افزار ابتدا رمزنگاری با الگوریتم AES-256 انجام گرفته و در مرحله دوم از الگوریتم RSA-4096 استفاده می شود و مهمتر اینکه کلید رمزنگاری هر قربانی مخصوص می باشد.
میانگین وجه درخواستی برای این باجافزار زیر ۱۰۰ هزار دلار بوده که برای این قبیل حملات، رقم بسیار پایینی محسوب میشود.
هنوز نظری ثبت نشده است. شما اولین نظر را بنویسید.