اخیرا باج افزار جدید تحت عنوان UNIZA ظهور پیدا کرده که مانند دیگر باج افزارها، فایل های موجود در سیستم های قربانیان را به منظور اخاذی، رمزگذاری می کند. این باج افزار از cmd.exe برای نمایش پیام باج گیری خود استفاده می کند و نکته قابل توجه در این اخاذی این مورد است که نام فایل های رمزگذاری شده را افشا نمی کند و تشخیص اینکه مهاجم به کدام فایل ها دسترسی پیدا کرده دشوار است.
باج افزار UNIZA یک باج افزار معمولی است که به دلیل جدید بودن این باج افزار هنوز نحوه شروع فعالیت آن و ارتباط اولیه با قربانی به صورت قطعی مشخص نشده است اما این احتمال وجود دارد که مانند سایر باج افزارها به صورت ارسال ایمیل به قربانی فعالیت خود را آغاز می کند.
UNIZA تمام فهرست ها و فایل های موجود در userprofile%, Desktop% را برای رمزگذاری فایل مورد هدف قرار می دهد. اگرچه این باج افزار هیچ پسوند فایلی را به فایل رمزگذاری شده اضافه نمی کند اما فایل ها در واقع رمزگذاری شده اند. نکته دیگر در عملکرد این باج افزار، عدم استفاده از روش یادداشت باج افزار برای بیان خواسته خود می باشد و به جای این کار Command Prompt را اجرا می کند و یادداشت باج به تدریج ظاهر می شود و مهاجم این پیام را از راه دور تایپ می کند. البته این رفتار می تواند یک تاکتیک برای ترساندن قربانی باشد که او را به این باور برساند که مهاجم می تواند از راه دور سیستم آنها را کنترل کند.
در موارد مشاهده شده، مهاجم از قربانی می خواهد که از طریق نرم افزار TikTok با مهاجم تماسی برقرار کند و مبلغ مورد نظر که عموما مقداری ارز دیجیتال است را به ولت مهاجم منتقل کند.
با توجه به اعلام کارشناسان حوزه امنیت، فعالیت این باج افزار هنوز به صورت گسترده رخ نداده است و حملات این باج افزار تا زمان تنظیم این گزارش به صورت محدود رخ داده است.
راه هایی برای کاهش این خطر پذیری
- آموزش کاربران برای کلیک نکردن روی لینک های مشکوک و همچنین بررسی دقیق تر ایمیل های دریافتی
- نظارت برفایروال ها برای مشاهده جهش های غیرعادی در داده هایی که از شبکه خارج می شوند
- نظارت بر نرم افزارهای نصب شده برای ابزارهای دسترسی از راه دور
روش های تشخیص این حمله
در صورت استفاده از راهکار شناسایی و پاسخ در نقطه پایانی (XDR) و تحلیل فعالیت های مرتبط، هشدارهای زیر مشاهده می گردد:
مشاهده فعالیت مرتبط با UNIZA
این تهدید از تکنیک های زیر که در جدول مایتراتک موجود می باشد استفاده نموده است.
شرکت مهندسی امن ارتباط سینداد کلیه IOA و IOC های مرتبط با تشخیص این حمله را به سامانه های خود افزوده است.
| Reconnaissance | Initial Access | Execution | Lateral Movement | Exfiltration | Impact |
| Active Scanning | Drive-by Compromise | Command and Scripting Interpreter | Exploitation of Remote Services | Automated Exfiltration | Account Access Removal |
| Gather Victim Host Information | Exploit Public-Facing Application | Container Administration Command | Internal Spearphishing | Data Transfer Size Limits | Data Destruction |
| Gather Victim Identity Information | External Remote Services | Deploy Container | Lateral Tool Transfer | Exfiltration Over Alternative Protocol | Data Encrypted for Impact |
| Gather Victim Network Information | Hardware Additions | Exploitation for Client Execution | Remote Service Session Hijacking | Exfiltration Over C2 Channel | Data Manipulation |
| Gather Victim Org Information | Phishing | Inter-Process Communication | Remote Services | Exfiltration Over Other Network Medium | Defacement |
| Phishing for Information | Replication Through Removable Media | Native API | Replication Through Removable Media | Exfiltration Over Physical Medium | Disk Wipe |
| Search Closed Sources | Supply Chain Compromise | Scheduled Task/Job | Software Deployment Tools | Exfiltration Over Web Service | Endpoint Denial of Service |
| Search Open Technical Databases | Trusted Relationship | Serverless Execution | Taint Shared Content | Scheduled Transfer | Firmware Corruption |
| Search Open Websites/Domains | Valid Accounts | Shared Modules | Use Alternate Authentication Material | Transfer Data to Cloud Account | Inhibit System Recovery |
| Search Victim-Owned Websites | Software Deployment Tools | Network Denial of Service | |||
| System Services | Resource Hijacking | ||||
| User Execution | Service Stop | ||||
| Windows Management Instrumentation | System Shutdown/Reboot |