یافته‌های جدید راجع به باج‌افزار Chaos

ابزار باج‌افزارساز Chaos فعالیت خود را با طراحی یک نسخه غیرقابل قبول از باج‌افزار Ryuk که شامل خطاهای بسیار زیادی هم بود شروع کرد. از آن زمان تاکنون، اعضای این گروه با توسعه عملیات خود و ایجاد تغییرات و اصلاحات لازم، مهاجمان مختلف را متقاعد به استفاده از این ابزار نمودند. به تازگی جدیدترین نسخه ابزار Chaos تحت عنوان Yashma به صورت وسیع مورد استفاده قرار گرفته و چندین ارتقا و قابلیت جدید را هم در برمی‌گیرد. مدتی پیش گروهی تحت عنوان Onyx در یک عملیات موفق سایبری، سازمان‌ها، تشکیلات پزشکی و سرویس‌های اضطراری در صنایع مختلف در آمریکا را مورد هدف قرار دادند. بنا به گفته محققان امنیت سایبری، در این حمله از یک نسخه از باج‌افزار Chaos استفاده شده است.

محققان می‌گویند: «ویژگی بسیار مخاطره‌آمیز و منفی Chaos/Yashma، انعطاف‌پذیری و دسترس‌پذیری وسیع آن است. با توجه به فروش و توزیع Chaos به عنوان ابزاری برای ساخت بدافزار، مجرمان سایبری با استفاده از این ابزار باج‌افزارساز می‌توانند اقدامات و عملیات عوامل حمله Onyx را تقلید نموده و با طراحی باج‌افزارهای مخصوص، قربانیان دلخواه را هدف بگیرند».

شروع آرام Chaos و بازاریابی‌های پرتکاپو

باج‌افزارساز Chaos ابتدا با عنوان Ryuk .NET Ransomware Builder v1.0 ظاهر شد. نویسندگان بدافزار این ابزار که یک نرم‌افزار متن بسته است را برای مشتریان‌شان طراحی کرده‌اند تا با استفاده از آنها بدافزارها را شخصی‌سازی نموده و یک باینری مخرب با خصوصیات مدنظرشان ایجاد کنند. به این ترتیب گروه‌های مجرم مختلف می‌توانند از یک بدافزار با سرورهای فرماندهی و کنترل مختلف استفاده یا بدافزارشان را برای هر یک از قربانیان شخصی‌سازی کنند.

البته با وجود نام Ryuk .NET  که برای باج‌افزارساز Ryuk .NET نیز انتخاب شده، این ابزار با باج‌افزار Ryuk که از گذشته تا کنون صدها سازمان را در سطح جهان آلوده کرده ارتباطی ندارد. Ryuk محصول گروهی تحت عنوان Wizard Spider یا عنکبوت جادوگر در صنعت امنیت سایبری است. به احتمال زیاد سازنده نسخه ثانویه Ryuk یا همان باج‌افزار Conti، بات‌نت TrickBot است. بنا به گفته محققان شرکت BlackBerry: «استقبال چندان گرمی از تبلیغات اولیه باج‌افزارساز Ryuk .NET در انجمن‌های زیرزمینی صورت نگرفته است. با توجه به اینکه باج‌افزار ساخته شده توسط این ابزار امکانات چندان زیادی نداشته و نقش یک پاک‌کننده فایل را بازی می‌کرد، بسیاری از کاربران این انجمن‌ها از تبلیغات کذبی که با استفاده از نام Ryuk صورت گرفته، انتقاد کردند».

این بدافزار بیش از 100 پسوند فایل مختلف را مورد هدف قرار داده بود اما به‌گونه‌ای طراحی شده که فایل‌ها را با یک رشته Base64 تصادفی پر کند. بر خلاف رمزنگاری، این روش غیرقابل بازگشت نیست. بنابراین فایل‌ها را برای همیشه نابود می‌کرد. سازنده این باج‌افزار به بازخوردهای منفی واکنش نشان داده و نسخه دوم آن را با نام Chaos نوشت. نسخه سوم این باج‌افزار نیز قابلیت رمزنگاری فایل‌ها را با الگوریتم‌های AES و RSA داشت. البته این کار فقط برای فایل‌هایی با حجم کمتر از یک مگابایت ممکن بود. سپس در نسخه Chaos Builder v4.0 حجم فایل‌های تحت پشتیبانی به کمتر از 2 مگابایت افزایش یافت. این نسخه مدتی پیش و به همراه یکسری قابلیت و اصلاحات دیگر از جمله امکان تغییر پس زمینه کامپیوتر قربانی برای نمایش پیام باج، قابلیت تنظیم پسوند فایل‌های تحت پشتیبانی (برای رمزنگاری آنها)، رابط کاربری گرافیکی برای کاربران باج‌افزارساز، پیشگیری از بازیابی فایل‌ها با حذف نسخه‌های سایه فایل سیستم ویندوز و کاتالوگ‌های پشتیبان و همچنین غیرفعال نمودن حالت بازیابی ویندوز منتشر شد.

ورود گروه مجرم Onyx به صحنه

نسخه چهارم باج‌افزار Chaos هم از اهمیت بسیار زیادی برخوردار بود چون به تازگی یک گروه بنام Onyx از آن استفاده نموده و استراتژی دوبار اخاذی را پیاده‌سازی کردند. امروزه این روش در بین گروه‌های باج‌افزاری بسیار رایج است. بنا به گفته محققان BlackBerry: «برخلاف پیام باج‌گیری Chaos که دستورالعمل‌ها یا راهنمای چندان کاربردی برای کاربران نداشت، گروه باج‌افزار Onyx یک وبسایت بنام Onyx News جهت نشت اطلاعات راه‌اندازی کرده بود. میزبانی این وب‌سایت در شبکه ناشناس تور انجام می‌شد. Onyx در این وب‌سایت اطلاعات مربوط به شیوه بازیابی داده‌ها را برای قربانیانش منتشر می‌کرد. در یادداشت باج Onyx آدرس وب‌سایت، نام کاربری و کلمه عبور برای ورود به وب‌سایت درج شده بود تا قربانیان پس از ورود به حساب، شروع به گفتگو با مهاجمان کنند».

با این حال، محققان امنیت سایبری و قربانیان باج‌افزار خیلی زود متوجه شدند که Onyx فایل‌های با حجم بیش از 2 مگابایت را نابود می‌کند زیرا 98 درصد از کد این آن با Chaos مشترک است و این اقدام نیز در اثر محدودیت‌های رمزنگاری در باج‌افزار Chaos رخ می‌داد. محققان BlackBerry همچنین با یک گفتگو در بین گروه Onyx و یکی از قربانیان مواجه شدند. در این گفتگو شخصی که مدعی شده که سازنده باج‌افزارساز Chaos است، در حال تلاش برای تبلیغ جدیدترین نسخه از باج‌افزار بوده و در آن توضیح داده که در حال حاضر محدودیت فایل 2 مگابایتی از این ابزار حذف شده است. سازنده Chaos در این گفتگو مدعی شده که Onyx بر اساس یک نسخه قدیمی‌تر از نرم‌افزار وی ساخته شده است.

Onyx در طول عمر کوتاهش چندین سازمان آمریکایی در حوزه‌های اقتصاد، کسب‌وکار، پزشکی و کشاورزی و همچنین خدمات اورژانسی را مورد هدف و حمله قرار داد. اگرچه رابطه بین گروه Onyx و سازنده Chaos مشخص نیست اما موفقیت این گروه می‌تواند باعث جلب توجه سایر مجرمان سایبری به باج‌افزارساز Chaos شود به‌ویژه با توجه به اینکه در حال حاضر محدودیت‌های رمزنگاری آن از بین رفته‌اند. یکی از مشکلات مهم حملات Onyx این است که منجر به نابودی بسیاری از فایل‌ها شده است. این موضوع با سیاست بسیاری از مهاجمان باج‌افزاری تناقض دارد. اگرچه موارد استثنائی بسیار زیادی هم وجود دارند اما گروه‌های باج‌افزاری معمولاً وعده خودشان مبنی بر رمزگشایی فایل‌ها را همواره اجرا کرده‌اند. ممکن است این کار با هدف حفظ اعتبار این گروه‌ها انجام شده تا قربانیان به آنها جهت بازگشت فایل‌ها اعتماد نموده و مبلغ درخواستی را پرداخت کنند.

بنا به گفته Christopher Boyd محقق Malwarebytes: «این چرخه اعتماد به باج‌افزارها در سال‌های اخیر اعتبار خود را از دست داده چون بعضی از گروه‌ها حتی پس از دریافت باج همچنان به باج‌گیری ادامه می‌دهند. همچنین در حال حاضر بسیاری از گروه‌های سایبری پس از دریافت باج، بدون اینکه راهکاری در اختیار قربانی دهند، ناپدید می‌شوند. باج‌افزارهای ناقصی مثل Onyx (Chaos) نیز بازیابی اطلاعات را غیرممکن می‌کنند». Boyd در مطلب چنین نوشته: «در حال حاضر تعداد باج‌افزارها بسیار زیاد و غیرقابل کنترل شده است. بنابراین نباید به آنها اعتماد کنید و انتظار داشته باشید که مطابق انتظار عمل کنند. در حال حاضر انتظار می‌رود که اخاذی حتی پس از دریافت باج هم ادامه دارد. بر اساس آنچه در این مقاله نوشته شده، مدل ارایه باج‌افزار به صورت سرویس عمر کمی داشت و همکاران باج‌افزارها معمولاً صرف‌نظر از انتظارات گروه اصلی، همچنان کار خودشان را انجام می‌دهند».

از Chaos تا Yashma

مشکلات رمزنگاری در نسخه پنجم Chaos که مدتی پیش منتشر شد رفع گردید. در نتیجه اگرچه باج‌افزار کندتر شده اما قابلیت رمزنگاری کلیه فایل‌ها با اندازه‌های مختلف را دارد. همچنین رمزگشای این نسخه اصلاح گردیده و امکان رمزنگاری فایل‌هایی به جز فایل‌های موجود در درایو C را هم دارد در نتیجه ممکن است مخاطرات بیشتری ایجاد کند. به‌تازگی نسخه ششم این باج‌افزارساز، با نام Yashma منتشر شده است. این نسخه با قابلیت پیکربندی باج‌افزار، می‌تواند بر اساس مجموعه زبان موجود در دستگاه قربانی، اجرای باج‌افزار را متوقف نماید. نویسندگان باج‌افزار معمولاً از این تکنیک برای پیشگیری از آلوده نمودن کامپیوترهای مقیم در کشور یا منطقه خودشان که می‌تواند مشکل‌آفرین باشد استفاده می‌کنند. Yashma همچنین می‌تواند انواع سرویس‌های در حال اجرا از جمله آنتی‌ویروس، سرویس‌های پشتیبان‌گیری، سرویس‌های ذخیره اطلاعات، سرویس‌های ریموت دسکتاپ و ابزارهای مدیریت اعتبارنامه‌های کاربری (credential vault) بر روی کامپیوتر قربانی را متوقف کند.

اگرچه تاکنون آلودگی‌های ایجاد شده توسط Yashma چندان گسترده نبوده اما احتمال گسترش آلودگی‌ها وجود دارد به ویژه با توجه به اینکه این باج‌افزارسازها به راحتی در انجمن‌های زیرزمینی در دسترس هستند. حتی نسخه‌های لورفته‌ای از این باج‌افزار هم وجود دارد که استفاده از آنها کاملاً رایگان است. محققان BlackBerry می‌گویند: «ردیابی حملات باج‌افزاری مرتبط با Chaos بسیار سخت است چون نشانه‌های نفوذ با هر باج‌افزاری که توسط این ابزار تولید می‌شود، تغییر می‌یابند. حتی مهاجمان تازه‌کار هم می‌توانند لینک نسخه‌های منتشر شده از این باج‌افزار در انجمن‌های دارک وب یا مخازن باج‌افزار دیگر را پیدا نموده و سپس از Chaos/Yashma برای اجرای فعالیت‌های مخرب استفاده کنند». محققان BlackBerry، نشانه‌های نفوذ و همچنین قوانین تشخیص YARA را هم در گزارش خودشان ذکر کرده‌اند.

منبع: csoonline