مقدمه
باج افزار Bucbi یکی از معروفترین باجافزارهای موجود است که از روش brute-force برای نفوذ به سیستمهای مختلف استفاده میکند. این باجافزار برای اولینبار در سال 2014 طراحی شد ولی پس از آن که مشکلاتی در عملکرد آن به وجود آمده در سال 2016 تغییراتی روی آن اعمال شد. تغییرات اعمال شده روی این باجافزار آن را به یکی از قدرتمندترین ابزارها در این حوزه تبدیل کرد.
این ابزار بهراحتی میتواند به سیستمهای مختلف نفوذ کرده و فایلهای آن را آلوده یا رمزگذاری کند. در ادامه کسی که آن را وارد سیستم کرده است میتواند با دریافت باج از مالک آن سیستم اقدام به اخاذی از آنها کند. باتوجهبه بهروزرسانیهای گستردهای که روی Bucbi انجام شده است این ابزار در حال حاضر سرعت بالایی در نفوذ به سیستمها دارد و عملکرد خوبی را در این زمینه از خود ارائه میدهد.
این باجافزار بهخصوص برای نفوذ به سیستمهای سازمانی میتواند یکی از بهترین گزینهها باشد. در ادامه سعی میکنیم تا بیشتر درباره ویژگیهای منحصربهفرد آن صحبت کنیم.
باج افزار Bucbi
آشنایی با باج افزار Bucbi
باج افزار Bucbi محصولی است که میتواند عملکردی بسیار خوب را در محیطهای سازمانی از خود نشان دهد. بهروزرسانیهای گستردهای که روی این باجافزار صورتگرفته است آن را برای حمله به شبکههای مختلف با استفاده از پورتهای باز RDP بسیار ایدهآل میکند. دقت داشته باشید که این باجافزار از پروتکل دسکتاپ از راه دور استفاده میکند که کارکردن با آن را سادهتر کرده است. یکی از جدیدترین نفوذهای امنیتی این باجافزار مربوط به شرکت امنیتی Fox-IT در همین اواخر است.
امروزه کارشناسانی که در این حوزه فعالیت دارند پیشبینی میکنند که هکرهای سازنده این باجافزار یا در کشور اوکراین یا در کشور روسیه فعالیت دارند. باتوجهبه گزارشاتی که توسط تیم امنیتی Palo Alto منتشر شده است منبع کدهای این باجافزار به کشور روسیه بازمیگردد ولی این امکان نیز وجود دارد که سازندگان آن در کشور اوکراین زندگی کنند.
اعضای این تیم پیشبینی میکنند که گروه جناح راست اوکراین با طراحی این باجافزار به شکلی که کدهای منبع آن به کشور روسیه بازگردند نوعی حمله شبهنظامی را علیه کشور روسیه راهاندازی کردهاند؛ بنابراین نمیتوان بهصورت قطعی بیان کرد که تیم سازنده این باجافزار متعلق به کشور روسیه هستند.
قابلیتهای کلیدی این باجافزار
باج افزار Bucbi چه ویژگیها و قابلیتهایی دارد؟
بدون شک یکی از مهمترین ویژگیهای باج افزار Bucbi که باعث میشود تا جز بهترین باجافزارها شناخته شود این است که برای کار با آن هیچ نیازی به اتصال به سرور فرمان و کنترل آنلاین آن وجود ندارد. شما میتوانید بدون انجام این کار نیز از Bucbi استفاده کنید. در این باجافزار از نوتیفیکیشنهای باجگیری منحصربهفردی استفاده میشود که تقریبا در هیچ باجافزار دیگری وجود ندارد. روش نصب این باجافزار نیز بسیار خاص بوده و تنها هکرهای حرفهای از آن استفاده میکنند.
این باجافزار معمولا بهصورت اجباری به شبکههای شرکتی وارد میشود و این کار را نیز از طریق یک پورت باز RDP انجام میدهد. نکته بسیار مهم دیگر درباره این باجافزار این است که از یک ابزار به نام RDP Brute برای سادهسازی نصب استفاده میکند. رویکرد تهاجمی که این ابزار برای نفوذ به شرکتها و سیستمهای سازمانی استفاده میکند باعث شده تا امروزه بسیاری از هکرها از آن استفاده کرده و از عملکرد خوب آن سواستفادههای زیادی کنند.
امروزه کارشناسان اعلام کردهاند که استفاده از این باجافزار میتواند در آیندهای نهچندان دور به نسل بعدی باجافزارها و سیستمهای نفوذ تبدیل شود تا هکرها بتوانند استراتژیهای خود را روی آن اعمال کنند.
نحوه کار Bucbi
باج افزار Bucbi چگونه کار میکند؟
باج افزار Bucbi معمولا از طریق دانلود HTTP با استفاده از یک ایمیل فیشینگ روی سیستم قرار داده میشود. اخیرا به میزان بسیار زیادی مشاهده شده است که این باجافزار برای کارکردن حتی نیازی به اتصال به اینترنت نیز ندارد که این ویژگی به علت اصلاحات و بهروزرسانیهایی است که در سالهای اخیر روی آن انجام شده است. محققان در سالهای اخیر مشاهده کردهاند که حملات مربوط به این باجافزار از 5 IP مختلف صورت میگیرند که این مسئله نیز در جای خود بسیار جالب است.
نکته مهمی که درباره نحوه کار این باجافزار وجود دارد این ابزار معمولا از دستگاههای PoS و نامهای کاربری مربوط به آن استفاده میکند؛ بنابراین یکی از بهترین راهکارهایی که برای پیداکردن آن وجود دارد این است که تیمهای امنیتی به دنبال چنین دستگاههایی در سیستم خود باشند. البته نباید فراموش کنید که امروزه این باجافزار از تکنیکهای مختلفی برای حملات خود استفاده میکند و دارای یک تکنیک ثابت نیست.
این باجافزار دو آرگومان خط فرمان را پیکربندی میکند. زمانی که اولین آرگومان به سیستم ارائه میشود این بدافزار بلافاصله سرویس FileService را اجرا کرده و با ارائه آرگومان دوم نیز اقدام به حذف کردن آن میکند.
جزئیات بیشتر این باجافزار
نکات مهمی که باید درباره باج افزار Bucbi بدانید
برخلاف سایر خانوادههای باجافزارهای محبوبی که در دنیا وجود دارند Bucbi پسوند خاصی را در فایلهای رمزگذاری شده اضافه نمیکند. این به آن معناست که پس از انجام عملیات رمزگذاری فایلهای موجود در سیستم بازنویسی میشوند و با همان نامی که در ابتدا در سیستم وجود داشتند ذخیره میشوند. نکته مهم دیگر این است که فایلهای کلیدی که در همان ابتدای کار ایجاد شدهاند حذف نخواهند گردید.
محققان همچنین در تحقیقات خود مشاهده کردهاند که باجافزار Bucbi دارای یک روال رمزگشایی است که میتواند با یک اصلاح باینری ساده برای رمزگشایی فایلهای موجود در سیستم مورداستفاده قرار گیرد. نکته جالبتر این است که این بدافزار هیچگاه از روالی که به این منظور طراحی شده است استفاده نمیکند. به گفته محققان تیمهای امنیتی در شرکتها و سازمانها میتوانند از این روال برای رمزگشایی فایلهای خود بدون نیاز به پرداخت باج به هکرها استفاده کنند.
نمونه جدیدی که از این باجافزار منتشر شده است نشان میدهد که نسخههای جدید نیز شباهت زیادی به نسخههای قدیمی آن دارند. بااینحال پیشرفتهای زیادی نیز در بخشهای مختلف مشاهده میشود که این مسئله برای شرکتها و سازمانهای بزرگ نگرانکننده است.
نتیجهگیری
باج افزار Bucbi یکی از باج افزارهای معروف و بسیار کاربردی است که در سالهای اخیر اصلاحات و بهروزرسانیهای زیادی روی آن صورتگرفته و آن را به یکی از بهترین باجافزارهای دنیا تبدیل کرده است. این باجافزار دارای ویژگیهای زیادی است که عملکرد آن را بهینه کرده و کارکردن با آن را نیز برای شما سادهتر میکند. امروزه از این باجافزار برای حمله به بسیاری از سازمانهای بزرگ استفاده شده که آسیبهای جدی را به این سازمانها وارد کرده است.
Leave A Comment