نسخه جدیدی از باجافزار BlackRouter – که با نام Blackheart نیز شناخته میشود – شناسایی شده که در قالب خدمات موسوم به “باجافزار بهعنوان سرویس” توسط هکری ایرانی در تلگرام به مهاجمان دیگر عرضه میشود.
در اوایل امسال، یکی از شرکتهای ضدویروس از کشف باجافزاری با همین نام خبر داد که در جریان انتشار آن، ابزار دسترسی از راه دور معروف AnyDesk بر روی دستگاه قربانی کپی میشد. استفاده از ابزار AnyDesk، صرفا ترفندی برای فریب کاربر بود. بدینترتیب که اجرای فایل آن سبب میشد که کاربر تصور کند که این ابزار نامآشنا بر روی دستگاه او اجرا شده و به فایل دوم که پشتصحنه به رمزگذاری فایلهای کاربر میپرداخت توجهی نکند.
اکنون بهنظر میرسد که نویسنده آن، ضمن اعمال تغییراتی جزیی، پشتیبانی از خدمات “باجافزار به عنوان سرویس” (Ransomware-as-a-Service – به اختصار RaaS) را نیز به نسخه جدید BlackRouter افزوده است.
به گزارش شرکت مهندسی شبکه گستر، در RaaS، صاحب باجافزار، فایل مخرب را بهعنوان یک خدمت به متقاضی اجاره میدهد. متقاضی که ممکن است در برنامهنویسی تخصصی نداشته باشد تنها وظیفه انتشار باجافزار را بر عهده دارد. در نهایت بخشی از مبلغ اخاذی شده از قربانی به متقاضی و بخشی دیگر به نویسنده میرسد.
بر طبق توضیحات فارسی درج شده در کانال تلگرام هکر مذکور، این سهم در سرویس RaaS باجافزار BlackRouterو 80 و 20 درصد است. بدین نحو که 80 درصد از مبلغ باج به فرد یا گروهی که کار انتشار BlackRouter را برعهده داشتهاند میرسد و 20 درصد باقیمانده به هکر گرداننده کانال تعلق میگیرد.
نمونهای از رابط کاربری نسخه جدید BlackRouter بر روی یک دستگاه آلوده به این باجافزار در تصویر زیر نشان داده شده است.
همچنین این هکر آنطور که خود ادعا میکند در حال توسعه یک اسب تروای دسترسی از راه دور (Remote Access Trojan) با نام BlackRAT با قابلیتهای متعدد است که به گفته او بهزودی آماده استفاده خواهد شد.
بهنظر نمیرسد که دامنه انتشار باجافزار BlackRouter، حداقل تا زمان نگارش این مطلب قابل توجه بوده باشد.
اصلیترین روش انتشار این باجافزار اتصال مهاجمان آن به دستگاههای با پودمان RDP فعال و رمز عبور ضعیف و اجرای فایل مخرب آن بهصورت دستی است. لذا مقاومسازی پودمان مذکور نقش بسزایی در ایمن نگاه داشتن سازمان از گزند BlackRouter دارد.
لازم به ذکر است که نسخههای مختلف BlackRouter با نامهای زیر قابل شناسایی میباشد:
Bitdefender:
– Trojan.GenericKD.30758789
– Gen:Variant.Ransom.BlackHeart.4
McAfee:
– Trojan-FDDZ!96238F811539
– Artemis!EBAD44D2A8C7
Sophos:
– Mal/Ramsil-T
– Mal/Generic-S