شناسایی «ویروس پاک کننده اطلاعات» علیه سیستم‌های ایرانی

بر اساس بررسی پژوهشگران امنیتی، این حملات عمدتاً زیرساخت‌های ابری و محیط‌های مبتنی بر کانتینر مانند Docker و Kubernetes را هدف قرار می‌دهد. مهاجمان در این حملات از ضعف پیکربندی یا دسترسی‌های ناامن در سرورها سواستفاده می‌کنند تا به سیستم‌ها نفوذ کنند.

تحلیل‌ها نشان می‌دهد بدافزار پس از ورود به سیستم، ابتدا برخی تنظیمات محیطی از جمله منطقه زمانی (Timezone) و تنظیمات محلی سیستم (Locale) را بررسی می‌کند. در برخی نمونه‌های شناسایی‌شده، اگر این تنظیمات به ایران اشاره داشته باشند، کد مخرب می‌تواند به مرحله‌ای وارد شود که هدف آن حذف کامل داده‌ها از سیستم است و اگر به ایران اشاره نشده باشد این ابزار فقط نقش جاسوسی را بازی خواهد کرد.

در صورت فعال شدن این مرحله، بدافزار ممکن است اسکریپت‌هایی برای پاک‌سازی کامل فایل‌ها یا تخریب سیستم اجرا کند؛ اقدامی که می‌تواند باعث از کار افتادن سرور و از بین رفتن داده‌ها شود.کارشناسان تأکید می‌کنند که هدف اصلی این کمپین بیشتر سرورها و زیرساخت‌های ابری با پیکربندی نادرست است.

متخصصان امنیت سایبری توصیه می‌کنند مدیران سیستم و تیم‌های فناوری اطلاعات با به‌روزرسانی نرم‌افزارها، محدود کردن دسترسی‌های عمومی به سرورها و بررسی پیکربندی سرویس‌های ابری، احتمال سوءاستفاده از این آسیب‌پذیری‌ها را کاهش دهند.