بازگشت عوامل باج‌افزار DarkSide با ترفندی جدید

عوامل باج‌افزار DarkSide مدتی پیش یک حمله گسترده را بر ضد خط لوله Colonial که بزرگترین خط لوله در آمریکا است، اجرا کردند. بر اثر اجرای این حمله، بخش‌های جنوب شرقی آمریکا با کمبود جدی سوخت مواجه شده و دولت این کشور نیز فشار بسیار زیادی را متحمل شد. سرانجام پس از تلاش بی‌وقفه تیم‌های امنیتی، دسترسی عوامل باج‌افزار DarkSide به سرورها قطع شده و عملیات آنها به صورت کامل متوقف شد. همچنین این گروه، 63 بیت‌کوین (به ارزش 4 میلیون دلار) از 75 بیت‌کوینی را که از قربانیان خود دریافت نموده بود به FBI بازگرداند.

با این حال یک الگوریتم رمزنگاری که در ابزاری رمزگشا مورد استفاده قرار می‌گیرد نشان می‌دهد که عوامل باج‌افزار DarkSide دوباره با یک عملیات جدید تحت عنوان باج‌افزار “BlackMatter” فعالیت خود را از سر گرفته و در حال تدارک دیدن حملات خطرناک بر ضد سازمان‌ها هستند. بر اساس نتایج تحقیقات مدافعان سایبری، عوامل باج‌افزار BlackMatter به صورت مستمر به قربانیان مدنظرشان حمله کرده و امکان دسترسی به شبکه‌ها را از سایر گروه‌های باج‌افزاری می‌گیرند.

وب‌سایت داده‌های منتشر شده توسط BlackMatter

بر اساس گزارش‌های منتشر شده در وب‌سایت :BleepingComputer «عوامل باج‌افزار BlackMatter چندین نهاد مختلف را مورد هدف قرار داده و از آنها درخواست پرداخت 3 تا 4 میلیون دلار باج کرده‌اند. البته یکی از قربانیان به درخواست آنها پاسخ مثبت داده و حدود 4 میلیون دلار باج پرداخت کرده است. مهاجمان هم اطلاعات به سرقت رفته آن را پاکسازی نموده و کلید رمزگشایی ESXi را برای سیستم عامل‌های ویندوز و لینوکس در اختیار آن قرار داده اند.

یادداشت باج‌افزار BlackMatter

شباهت فرایند رمزنگاری BlackMatter با DarkSide

BleepingComputer در زمان انجام تحقیقات درباره این باج‌افزار جدید، رمزگشای دریافت شده از عوامل BlackMatter را با یکی از کارشناسان باج‌افزار به نام “Fabian Wosar” به اشتراک گذاشت. این کارشناس امنیتی پس از تحلیل رمزگشای مربوطه به این نتیجه رسید که در BlackMatter از روش‌های مشابه در باج‌افزار DarkSide استفاده شده است. او در این خصوص می‌گوید: «من پس از بررسی کدهای رمزگشای BlackMatter متوجه شدم که DarkSide با یک نام جدید فعالیت خود را از سر گرفته و در هر دو باج‌افزار از الگوریتم‌های یکسانی استفاده شده است».

بنا بر گفته Wosar: «روش رمزنگاری مورد استفاده توسط BlackMatter دقیقاً شبیه روش DarkSide است. برای مثال هر دو باج‌افزار از ماتریس سالسا 20 در کدهای خود استفاده کرده‌اند».

ماتریس سالسا 20

در هنگام رمزنگاری داده‌ها با استفاده از ماتریس سالسا 20، طراح کد ابتدا یک ماتریس اولیه را که از شانزده کلمه 32 بیتی تشکیل شده است در اختیار الگوریتم این ماتریس قرار می‌دهد. DarkSide اطلاعات مربوط به فایل‌های رمزنگاری را در ماتریس سالسا 20 با کلمات تصادفی پر می‌کند. سپس این ماتریس با استفاده از یک کلید عمومی RSA، رمزنگاری شده و در پسایند (Footer) فایل رمزنگاری شده ذخیره می‌شود. DarkSide هرگز با استفاده از رشته‌های ثابت و کلیدهای معین، فایل‌های رمزنگاری را پر نمی‌کند.

Wosar می‌گوید: «این شیوه رمزنگاری خاص و همچنین یک پیاده‌سازی ویژه RSA 1024 فقط توسط DarkSide و BlackMatter استفاده شده است».

اگرچه این شواهد به طور قطعی نمی‌توانند ثابت کنند که عملیات BlackMatter و DarkSide یکسان هستند ولی استفاده از الگوریتم‌های رمزنگاری یکسان، زبان مشابه در تمام وب‌سایت‌های BlackMatter و DarkSide، تلاش‌های شبیه به هم برای جلب توجه رسانه‌ها و همچنین استفاده از رنگ‌های مشابه در وب‌سایت‌های تور مربوط به عملیات این باج‌افزارها می‌توان نتیجه گرفت که هر دو باج‌افزار یکسان هستند.

همچنین تغییر برند از DarkSide به BlackMatter شاید به این معنا باشد که این گروه دیگر قصد حمله بر ضد صنعت نفت و گاز را ندارند زیرا عملیات DarkSide پس از مورد هدف قرار دادن این صنعت کلاً متوقف شد. در هر صورت این گروه باج‌افزاری متأسفانه تخصص بسیار زیادی داشته و معماری‌های مختلفی از جمله سرورهای ESXi، ویندوز و لینوکس را مورد هدف قرار می‌دهد. از این رو مدافعان سایبری باید گروه باج‌افزاری جدید BlackMatter را زیرنظر داشته باشند پیش از اینکه نهادهای مهم و برجسته مورد هدف حملات مخرب آنها قرار گیرد.

منبع: bleepingcomputer

خروج از نسخه موبایل