به تازگی مجموعهی جدید از بدافزارها (Malware) و از نوع باج افزار (Ransomware) با نام cuteRansomware شناسایی شدهاند که با استفاده از Google Docs فعال میشوند تا کلید رمزگشایی (Decryption Key) و عملکرد دستور و کنترل (Command-and-Control) را در آن مدیریت کنند.
این بدافزار زمانی توسط تیم تحقیق Netskope شناسایی شد که آنها متوجه شدند یک کاربر با نام کاربری “aaaddress1” مختص به GitHub که یک محیط اشتراکی جهت برنامهنویسی را در اختیار کاربران قرار میدهد،کد اصلی یک ماژول باجافزاری بر اساس #C به نام my-Little-Ransomware را منتشر نموده است. همچنین یکی از محققان امنیتی AVG نیز نسخهی چینی اصلاحشده ی my-Little-Ransomware را شناسایی نموده و به دلیل نامگذاری مولف اصلی، آن را تحت عنوان cuteRansomware معرفی نمود.
اگرچه بهنظر میرسید این باجافزار بسیار ابتدایی میباشد و با ایجاد تغییراتی در کد اصلی my-Little-Ransomware ایجاد شده باشد، اما استفاده از سرویسهای Cloud مانند Google Docs میتواند در آیندهای نزدیک به عنوان اهداف و مقاصدAttackerها جهت استفاده از سرویسهای Cloud مورد سوء استفاده قرار گیرند. در واقع، آنها از سرویسهای Cloud فقط برای ذخیرهسازی کلیدها استفاده نمینمایند، بلکه برای ارتباطات (Command-and-Control (C&C نیز از آن بهره میگیرند.
Netskope در تحلیلی اعلام نمود، با توجه به اینکه Google Docs بهصورت پیشفرض از HTTPS استفاده مینماید و انتقال دادههای شبکه بر روی SSL بهراحتی از راهکارهای امنیتی سنتی مانند Firewall، سیستم جلوگیری از نفوذ (IPS) یا فایروالهای نسل بعدی عبور مینماید، و اعتقاد این شرکت بر این است که موضوع این نوع باج افزارها از اهمیت بیشتری برخوردار است. همانطور که عوامل مخرب بیش از پیش از Cloud برای ارائه بدافزار و سرقت اطلاعات از طریق Command-and-Control بهره میگیرند، عدم وجود قابلیت دید نسبت به SSL در ابزارهای شناسایی سنتی نیز مزایای بسیاری را برای آنها به همراه دارد. بهعلاوه، عدم توانایی ابزارهای سنتی در بررسی ترافیک SSL مربوط به برنامههای غیرمجاز که استفاده از آنها با ریسک افشای یا نشت اطلاعات همراه است، اهمیت مییابد.
علاوه بر این، استفاده از برنامههای پرطرفدار Cloud مانند Google Docs چالش دیگری را هم به دنبال دارد. سازمانهایی که از Google Docs بهعنوان ابزار بهرهوری استفاده مینمایند، مسدود نمودن فوری آن تقریبا غیرممکن است.
Travis Smith، مهندس ارشد تحقیقات امنیتی Tripwire اظهار نمود: نکتهای که cuteRansomware را جذاب می کند استفاده از یک ارائهدهندهی معروف سرویس Cloud بهعنوان سرور Command-and-Control می باشد. این نمونه، از Google Docs برای نگهداری کلیدهای رمزگذاری و رمزگشایی برای هر یک از قربانیان استفاده مینماید. علیرغم منحصر به فرد بودن این ایده، Hosting کلیدها بر روی Google Docs یک راهکار کوتاهمدت به شمار میرود. بهمحض اطلاعGoogle از این موضوع، احتمالا آن بخش از سرور که کلیدها را کنترل مینماید، به حالت Offline درخواهد آمد.
همانند همهی باجافزارها (Ransomware)، لازم است که به منظور مقابله با این مورد نیز از بهترین روش استفاده شود.
تیم Netskope اظهار نمود: این مورد بر اهمیت شناسایی بدافزار در برنامههای Cloud تاکید میورزد. البته فقط برنامههای مجاز مد نظر نمیباشند، بلکه برنامه های غیرمجاز نیز شامل این موضوع میگردند. در ضمن اهمیت پیشبینی چنین حملاتی از طریق شناسایی جایگاه محتوا حساس در Cloud و کسب اطمینان از انجام پشتیبانیگیری(Back up) برای این فایلهای مهم انجام میگردد.
