معمولا با استفاده از بدافزار ها و از طریق رمز عبورهای ضعیف یا به سرقت رفته remote desktop سیستم های فروش را مورد هدف قرار می گرفتند، اما اخیرا از این روش برای توزیع باج افزار ها نیز استفاده می شود.
در ماه مارس، محققان باج افزاری را پیدا نمودند که با استفاده از رمز عبورهای به سرقت رفته نرم افزار TeamViewer (یک ابزار محبوب مدیریت از راه دور) خود را بر روی سیستم ها نصب می کرد. اما این روند از زمانی دورتر آغاز شده است به طوریکه در سال 2015 بعضی از باج افزار ها با استفاده از حملات brute-force برای حدس زدن رمز عبور در برابر پروتکل remote desktop (RDP) استفاده می کردند.
در حالیکه این روش در ابتدا به صورت محدود توسط باج افزار ها مورد استفاده قرار می گرفت، اما اخیرا مجرمان سایبری از این روش به صورت گسترده ای استفاده می کنند مانند کسانی که مسئول گسترش باج افزار Crysis هستند.
محققان امنیتی از آزمایشگاه Kaspersky یک باج افزار جدید را کشف کرده اند که بیمارستان ها و دیگر مراکز برزیل را مورد هدف قرار داده است. محققان نام این باج افزار را Ransom.Win32.Xpan گذاشته اند و می گویند که توسط گروه TeamXRat ساخته شده است که متخصص در امر تروجان های از راه دور (RAT) می باشند.
با توجه به گفته های آزمایشگاه کسپرسکی، TeamXRat با استفاده از حملات brute-force در برابر سرورهای RDP کار خود را آغاز کرده و سپس به صورت دستی باج افزار Xpan را بر روی سرور ها نصب می نمایند.
محققان کسپرسکی در بلاگ خود گفته اند: ” اتصال مستقیم سرورهای remote desktop به اینترنت توصیه نمی شود و استفاده از حملات brute force بر روی آن ها اتفاق جدیدی نمی باشد، اما بدون کنترل مناسب در محل برای جلوگیری و یا حداقل تشخیص و عکس العمل در برابر سرور های به خطر افتاده، استفاده از این حملات توسط مجرمان سایبری امری جذاب برای آن ها می باشد. وقتی که سرور قابل دسترسی باشد حمله کننده به صورت دستی آنتی ویروس سرور را غیر فعال می کند و کامپیوتر را آلوده می کند.”
برزیل بیشترین تعداد سرورهای آلوده که در بازار های زیر زمینی به فروش می رسد را دارا می باشد و بعد از آن کشورهایی نظیر روسیه، اسپانیا، انگلیس و آمریکا قرار دارند.
خوشبختانه در خصوص Xpan، نویسنده باج افزار یک خطا در طریقه پیاده سازی رمزگذاری انجام داده که به آزمایشگاه کسپرسکی این اجازه را می دهد که بدون پرداخت باج، فایل ها را بازگرداند. هیچ ابزار رمز گشایی برای دانلود وجود ندارد، اما به قربانیان Xpan توصیه می شود تا با بخش پشتیبانی شرکت های امنیتی تماس گرفته و از آن ها کمک بخواهند.
پیاده سازی مشکل دار رمزنگاری مورد غیر معمولی در باج افزار ها نمی باشد مخصوصا در آن هایی که به تازگی ایجاد شده اند. اما برنامه نویسان این باج افزار ها به سرعت این اشکالات را برطرف می نمایند و در نتیجه دیر یا زود از رمزنگاری های قوی تر استفاده می کنند.