یافتههای جدید راجع به باجافزار Chaos
ابزار باجافزارساز Chaos فعالیت خود را با طراحی یک نسخه غیرقابل قبول از باجافزار Ryuk که شامل خطاهای بسیار زیادی هم بود شروع کرد. از آن زمان تاکنون، اعضای این گروه با توسعه عملیات خود و ایجاد تغییرات و اصلاحات لازم، مهاجمان مختلف را متقاعد به استفاده از این ابزار نمودند. به تازگی جدیدترین نسخه ابزار Chaos تحت عنوان Yashma به صورت وسیع مورد استفاده قرار گرفته و چندین ارتقا و قابلیت جدید را هم در برمیگیرد. مدتی پیش گروهی تحت عنوان Onyx در یک عملیات موفق سایبری، سازمانها، تشکیلات پزشکی و سرویسهای اضطراری در صنایع مختلف در آمریکا را مورد هدف قرار دادند. بنا به گفته محققان امنیت سایبری، در این حمله از یک نسخه از باجافزار Chaos استفاده شده است.
محققان میگویند: «ویژگی بسیار مخاطرهآمیز و منفی Chaos/Yashma، انعطافپذیری و دسترسپذیری وسیع آن است. با توجه به فروش و توزیع Chaos به عنوان ابزاری برای ساخت بدافزار، مجرمان سایبری با استفاده از این ابزار باجافزارساز میتوانند اقدامات و عملیات عوامل حمله Onyx را تقلید نموده و با طراحی باجافزارهای مخصوص، قربانیان دلخواه را هدف بگیرند».
شروع آرام Chaos و بازاریابیهای پرتکاپو
باجافزارساز Chaos ابتدا با عنوان Ryuk .NET Ransomware Builder v1.0 ظاهر شد. نویسندگان بدافزار این ابزار که یک نرمافزار متن بسته است را برای مشتریانشان طراحی کردهاند تا با استفاده از آنها بدافزارها را شخصیسازی نموده و یک باینری مخرب با خصوصیات مدنظرشان ایجاد کنند. به این ترتیب گروههای مجرم مختلف میتوانند از یک بدافزار با سرورهای فرماندهی و کنترل مختلف استفاده یا بدافزارشان را برای هر یک از قربانیان شخصیسازی کنند.
البته با وجود نام Ryuk .NET که برای باجافزارساز Ryuk .NET نیز انتخاب شده، این ابزار با باجافزار Ryuk که از گذشته تا کنون صدها سازمان را در سطح جهان آلوده کرده ارتباطی ندارد. Ryuk محصول گروهی تحت عنوان Wizard Spider یا عنکبوت جادوگر در صنعت امنیت سایبری است. به احتمال زیاد سازنده نسخه ثانویه Ryuk یا همان باجافزار Conti، باتنت TrickBot است. بنا به گفته محققان شرکت BlackBerry: «استقبال چندان گرمی از تبلیغات اولیه باجافزارساز Ryuk .NET در انجمنهای زیرزمینی صورت نگرفته است. با توجه به اینکه باجافزار ساخته شده توسط این ابزار امکانات چندان زیادی نداشته و نقش یک پاککننده فایل را بازی میکرد، بسیاری از کاربران این انجمنها از تبلیغات کذبی که با استفاده از نام Ryuk صورت گرفته، انتقاد کردند».
این بدافزار بیش از 100 پسوند فایل مختلف را مورد هدف قرار داده بود اما بهگونهای طراحی شده که فایلها را با یک رشته Base64 تصادفی پر کند. بر خلاف رمزنگاری، این روش غیرقابل بازگشت نیست. بنابراین فایلها را برای همیشه نابود میکرد. سازنده این باجافزار به بازخوردهای منفی واکنش نشان داده و نسخه دوم آن را با نام Chaos نوشت. نسخه سوم این باجافزار نیز قابلیت رمزنگاری فایلها را با الگوریتمهای AES و RSA داشت. البته این کار فقط برای فایلهایی با حجم کمتر از یک مگابایت ممکن بود. سپس در نسخه Chaos Builder v4.0 حجم فایلهای تحت پشتیبانی به کمتر از 2 مگابایت افزایش یافت. این نسخه مدتی پیش و به همراه یکسری قابلیت و اصلاحات دیگر از جمله امکان تغییر پس زمینه کامپیوتر قربانی برای نمایش پیام باج، قابلیت تنظیم پسوند فایلهای تحت پشتیبانی (برای رمزنگاری آنها)، رابط کاربری گرافیکی برای کاربران باجافزارساز، پیشگیری از بازیابی فایلها با حذف نسخههای سایه فایل سیستم ویندوز و کاتالوگهای پشتیبان و همچنین غیرفعال نمودن حالت بازیابی ویندوز منتشر شد.
ورود گروه مجرم Onyx به صحنه
نسخه چهارم باجافزار Chaos هم از اهمیت بسیار زیادی برخوردار بود چون به تازگی یک گروه بنام Onyx از آن استفاده نموده و استراتژی دوبار اخاذی را پیادهسازی کردند. امروزه این روش در بین گروههای باجافزاری بسیار رایج است. بنا به گفته محققان BlackBerry: «برخلاف پیام باجگیری Chaos که دستورالعملها یا راهنمای چندان کاربردی برای کاربران نداشت، گروه باجافزار Onyx یک وبسایت بنام Onyx News جهت نشت اطلاعات راهاندازی کرده بود. میزبانی این وبسایت در شبکه ناشناس تور انجام میشد. Onyx در این وبسایت اطلاعات مربوط به شیوه بازیابی دادهها را برای قربانیانش منتشر میکرد. در یادداشت باج Onyx آدرس وبسایت، نام کاربری و کلمه عبور برای ورود به وبسایت درج شده بود تا قربانیان پس از ورود به حساب، شروع به گفتگو با مهاجمان کنند».
با این حال، محققان امنیت سایبری و قربانیان باجافزار خیلی زود متوجه شدند که Onyx فایلهای با حجم بیش از 2 مگابایت را نابود میکند زیرا 98 درصد از کد این آن با Chaos مشترک است و این اقدام نیز در اثر محدودیتهای رمزنگاری در باجافزار Chaos رخ میداد. محققان BlackBerry همچنین با یک گفتگو در بین گروه Onyx و یکی از قربانیان مواجه شدند. در این گفتگو شخصی که مدعی شده که سازنده باجافزارساز Chaos است، در حال تلاش برای تبلیغ جدیدترین نسخه از باجافزار بوده و در آن توضیح داده که در حال حاضر محدودیت فایل 2 مگابایتی از این ابزار حذف شده است. سازنده Chaos در این گفتگو مدعی شده که Onyx بر اساس یک نسخه قدیمیتر از نرمافزار وی ساخته شده است.
Onyx در طول عمر کوتاهش چندین سازمان آمریکایی در حوزههای اقتصاد، کسبوکار، پزشکی و کشاورزی و همچنین خدمات اورژانسی را مورد هدف و حمله قرار داد. اگرچه رابطه بین گروه Onyx و سازنده Chaos مشخص نیست اما موفقیت این گروه میتواند باعث جلب توجه سایر مجرمان سایبری به باجافزارساز Chaos شود بهویژه با توجه به اینکه در حال حاضر محدودیتهای رمزنگاری آن از بین رفتهاند. یکی از مشکلات مهم حملات Onyx این است که منجر به نابودی بسیاری از فایلها شده است. این موضوع با سیاست بسیاری از مهاجمان باجافزاری تناقض دارد. اگرچه موارد استثنائی بسیار زیادی هم وجود دارند اما گروههای باجافزاری معمولاً وعده خودشان مبنی بر رمزگشایی فایلها را همواره اجرا کردهاند. ممکن است این کار با هدف حفظ اعتبار این گروهها انجام شده تا قربانیان به آنها جهت بازگشت فایلها اعتماد نموده و مبلغ درخواستی را پرداخت کنند.
بنا به گفته Christopher Boyd محقق Malwarebytes: «این چرخه اعتماد به باجافزارها در سالهای اخیر اعتبار خود را از دست داده چون بعضی از گروهها حتی پس از دریافت باج همچنان به باجگیری ادامه میدهند. همچنین در حال حاضر بسیاری از گروههای سایبری پس از دریافت باج، بدون اینکه راهکاری در اختیار قربانی دهند، ناپدید میشوند. باجافزارهای ناقصی مثل Onyx (Chaos) نیز بازیابی اطلاعات را غیرممکن میکنند». Boyd در مطلب چنین نوشته: «در حال حاضر تعداد باجافزارها بسیار زیاد و غیرقابل کنترل شده است. بنابراین نباید به آنها اعتماد کنید و انتظار داشته باشید که مطابق انتظار عمل کنند. در حال حاضر انتظار میرود که اخاذی حتی پس از دریافت باج هم ادامه دارد. بر اساس آنچه در این مقاله نوشته شده، مدل ارایه باجافزار به صورت سرویس عمر کمی داشت و همکاران باجافزارها معمولاً صرفنظر از انتظارات گروه اصلی، همچنان کار خودشان را انجام میدهند».
از Chaos تا Yashma
مشکلات رمزنگاری در نسخه پنجم Chaos که مدتی پیش منتشر شد رفع گردید. در نتیجه اگرچه باجافزار کندتر شده اما قابلیت رمزنگاری کلیه فایلها با اندازههای مختلف را دارد. همچنین رمزگشای این نسخه اصلاح گردیده و امکان رمزنگاری فایلهایی به جز فایلهای موجود در درایو C را هم دارد در نتیجه ممکن است مخاطرات بیشتری ایجاد کند. بهتازگی نسخه ششم این باجافزارساز، با نام Yashma منتشر شده است. این نسخه با قابلیت پیکربندی باجافزار، میتواند بر اساس مجموعه زبان موجود در دستگاه قربانی، اجرای باجافزار را متوقف نماید. نویسندگان باجافزار معمولاً از این تکنیک برای پیشگیری از آلوده نمودن کامپیوترهای مقیم در کشور یا منطقه خودشان که میتواند مشکلآفرین باشد استفاده میکنند. Yashma همچنین میتواند انواع سرویسهای در حال اجرا از جمله آنتیویروس، سرویسهای پشتیبانگیری، سرویسهای ذخیره اطلاعات، سرویسهای ریموت دسکتاپ و ابزارهای مدیریت اعتبارنامههای کاربری (credential vault) بر روی کامپیوتر قربانی را متوقف کند.
اگرچه تاکنون آلودگیهای ایجاد شده توسط Yashma چندان گسترده نبوده اما احتمال گسترش آلودگیها وجود دارد به ویژه با توجه به اینکه این باجافزارسازها به راحتی در انجمنهای زیرزمینی در دسترس هستند. حتی نسخههای لورفتهای از این باجافزار هم وجود دارد که استفاده از آنها کاملاً رایگان است. محققان BlackBerry میگویند: «ردیابی حملات باجافزاری مرتبط با Chaos بسیار سخت است چون نشانههای نفوذ با هر باجافزاری که توسط این ابزار تولید میشود، تغییر مییابند. حتی مهاجمان تازهکار هم میتوانند لینک نسخههای منتشر شده از این باجافزار در انجمنهای دارک وب یا مخازن باجافزار دیگر را پیدا نموده و سپس از Chaos/Yashma برای اجرای فعالیتهای مخرب استفاده کنند». محققان BlackBerry، نشانههای نفوذ و همچنین قوانین تشخیص YARA را هم در گزارش خودشان ذکر کردهاند.
منبع: csoonline