باج افزار Bucbi را بیشتر بشناسید

مقدمه

باج افزار Bucbi یکی از معروف‌ترین باج‌افزارهای موجود است که از روش brute-force برای نفوذ به سیستم‌های مختلف استفاده می‌کند. این باج‌افزار برای اولین‌بار در سال 2014 طراحی شد ولی پس از آن که مشکلاتی در عملکرد آن به وجود آمده در سال 2016 تغییراتی روی آن اعمال شد. تغییرات اعمال شده روی این باج‌افزار آن را به یکی از قدرتمندترین ابزارها در این حوزه تبدیل کرد.

این ابزار به‌راحتی می‌تواند به سیستم‌های مختلف نفوذ کرده و فایل‌های آن را آلوده یا رمزگذاری کند. در ادامه کسی که آن را وارد سیستم کرده است می‌تواند با دریافت باج از مالک آن سیستم اقدام به اخاذی از آنها کند. باتوجه‌به به‌روزرسانی‌های گسترده‌ای که روی Bucbi انجام شده است این ابزار در حال حاضر سرعت بالایی در نفوذ به سیستم‌ها دارد و عملکرد خوبی را در این زمینه از خود ارائه می‌دهد.

این باج‌افزار به‌خصوص برای نفوذ به سیستم‌های سازمانی می‌تواند یکی از بهترین گزینه‌ها باشد. در ادامه سعی می‌کنیم تا بیشتر درباره ویژگی‌های منحصربه‌فرد آن صحبت کنیم.

باج افزار Bucbi

آشنایی با باج افزار Bucbi

باج افزار Bucbi محصولی است که می‌تواند عملکردی بسیار خوب را در محیط‌های سازمانی از خود نشان دهد. به‌روزرسانی‌های گسترده‌ای که روی این باج‌افزار صورت‌گرفته است آن را برای حمله به شبکه‌های مختلف با استفاده از پورت‌های باز RDP بسیار ایده‌آل می‌کند. دقت داشته باشید که این باج‌افزار از پروتکل دسکتاپ از راه دور استفاده می‌کند که کارکردن با آن را ساده‌تر کرده است. یکی از جدیدترین نفوذ‌های امنیتی این باج‌افزار مربوط به شرکت امنیتی Fox-IT در همین اواخر است.

امروزه کارشناسانی که در این حوزه فعالیت دارند پیش‌بینی می‌کنند که هکرهای سازنده این باج‌افزار یا در کشور اوکراین یا در کشور روسیه فعالیت دارند. باتوجه‌به گزارشاتی که توسط تیم امنیتی Palo Alto منتشر شده است منبع کدهای این باج‌افزار به کشور روسیه بازمی‌گردد ولی این امکان نیز وجود دارد که سازندگان آن در کشور اوکراین زندگی کنند.

اعضای این تیم پیش‌بینی می‌کنند که گروه جناح راست اوکراین با طراحی این باج‌افزار به شکلی که کدهای منبع آن به کشور روسیه بازگردند نوعی حمله شبه‌نظامی را علیه کشور روسیه راه‌اندازی کرده‌اند؛ بنابراین نمی‌توان به‌صورت قطعی بیان کرد که تیم سازنده این باج‌افزار متعلق به کشور روسیه هستند.

قابلیت‌های کلیدی این باج‌افزار

باج افزار Bucbi چه ویژگی‌ها و قابلیت‌هایی دارد؟

بدون شک یکی از مهم‌ترین ویژگی‌های باج افزار Bucbi که باعث می‌شود تا جز بهترین باج‌افزارها شناخته شود این است که برای کار با آن هیچ نیازی به اتصال به سرور فرمان و کنترل آنلاین آن وجود ندارد. شما می‌توانید بدون انجام این کار نیز از Bucbi استفاده کنید. در این باج‌افزار از نوتیفیکیشن‌های باج‌گیری منحصربه‌فردی استفاده می‌شود که تقریبا در هیچ باج‌افزار دیگری وجود ندارد. روش نصب این باج‌افزار نیز بسیار خاص بوده و تنها هکرهای حرفه‌ای از آن استفاده می‌کنند.

این باج‌افزار معمولا به‌صورت اجباری به شبکه‌های شرکتی وارد می‌شود و این کار را نیز از طریق یک پورت باز RDP انجام می‌دهد. نکته بسیار مهم دیگر درباره این باج‌افزار این است که از یک ابزار به نام RDP Brute برای ساده‌سازی نصب استفاده می‌کند. رویکرد تهاجمی که این ابزار برای نفوذ به شرکت‌ها و سیستم‌های سازمانی استفاده می‌کند باعث شده تا امروزه بسیاری از هکرها از آن استفاده کرده و از عملکرد خوب آن سواستفاده‌های زیادی کنند.

امروزه کارشناسان اعلام کرده‌اند که استفاده از این باج‌افزار می‌تواند در آینده‌ای نه‌چندان دور به نسل بعدی باج‌افزارها و سیستم‌های نفوذ تبدیل شود تا هکرها بتوانند استراتژی‌های خود را روی آن اعمال کنند.

نحوه کار Bucbi

باج افزار Bucbi چگونه کار می‌کند؟

باج افزار Bucbi معمولا از طریق دانلود HTTP با استفاده از یک ایمیل فیشینگ روی سیستم قرار داده می‌شود. اخیرا به میزان بسیار زیادی مشاهده شده است که این باج‌افزار برای کارکردن حتی نیازی به اتصال به اینترنت نیز ندارد که این ویژگی به علت اصلاحات و به‌روزرسانی‌هایی است که در سال‌های اخیر روی آن انجام شده است. محققان در سال‌های اخیر مشاهده کرده‌اند که حملات مربوط به این باج‌افزار از 5 IP مختلف صورت می‌گیرند که این مسئله نیز در جای خود بسیار جالب است.

نکته مهمی که درباره نحوه کار این باج‌افزار وجود دارد این ابزار معمولا از دستگاه‌های PoS و نام‌های کاربری مربوط به آن استفاده می‌کند؛ بنابراین یکی از بهترین راهکارهایی که برای پیداکردن آن وجود دارد این است که تیم‌های امنیتی به دنبال چنین دستگاه‌هایی در سیستم خود باشند. البته نباید فراموش کنید که امروزه این باج‌افزار از تکنیک‌های مختلفی برای حملات خود استفاده می‌کند و دارای یک تکنیک ثابت نیست.

این باج‌افزار دو آرگومان خط فرمان را پیکر‌بندی می‌کند. زمانی که اولین آرگومان به سیستم ارائه می‌شود این بدافزار بلافاصله سرویس FileService را اجرا کرده و با ارائه آرگومان دوم نیز اقدام به حذف کردن آن می‌کند.

جزئیات بیشتر این باج‌افزار

نکات مهمی که باید درباره باج افزار Bucbi بدانید

برخلاف سایر خانواده‌های باج‌افزارهای محبوبی که در دنیا وجود دارند Bucbi پسوند خاصی را در فایل‌های رمزگذاری شده اضافه نمی‌کند. این به آن معناست که پس از انجام عملیات رمزگذاری فایل‌های موجود در سیستم بازنویسی می‌شوند و با همان نامی که در ابتدا در سیستم وجود داشتند ذخیره می‌شوند. نکته مهم دیگر این است که فایل‌های کلیدی که در همان ابتدای کار ایجاد شده‌اند حذف نخواهند گردید.

محققان همچنین در تحقیقات خود مشاهده کرده‌اند که باج‌افزار Bucbi دارای یک روال رمزگشایی است که می‌تواند با یک اصلاح باینری ساده برای رمزگشایی فایل‌های موجود در سیستم مورداستفاده قرار گیرد. نکته جالب‌تر این است که این بدافزار هیچ‌گاه از روالی که به این منظور طراحی شده است استفاده نمی‌کند. به گفته محققان تیم‌های امنیتی در شرکت‌ها و سازمان‌ها می‌توانند از این روال برای رمزگشایی فایل‌های خود بدون نیاز به پرداخت باج به هکرها استفاده کنند.

نمونه جدیدی که از این باج‌افزار منتشر شده است نشان می‌دهد که نسخه‌های جدید نیز شباهت زیادی به نسخه‌های قدیمی آن دارند. بااین‌حال پیشرفت‌های زیادی نیز در بخش‌های مختلف مشاهده می‌شود که این مسئله برای شرکت‌ها و سازمان‌های بزرگ نگران‌کننده است.

نتیجه‌گیری

باج افزار Bucbi یکی از باج‌ افزارهای معروف و بسیار کاربردی است که در سال‌های اخیر اصلاحات و به‌روزرسانی‌های زیادی روی آن صورت‌گرفته و آن را به یکی از بهترین باج‌افزارهای دنیا تبدیل کرده است. این باج‌افزار دارای ویژگی‌های زیادی است که عملکرد آن را بهینه کرده و کارکردن با آن را نیز برای شما ساده‌تر می‌کند. امروزه از این باج‌افزار برای حمله به بسیاری از سازمان‌های بزرگ استفاده شده که آسیب‌های جدی را به این سازمان‌ها وارد کرده است.