Buran؛ نواده باج‌افزار VegaLocker

شرکت امنیتی مک‌آفی، جزییات خانواده جدیدی از باج‌افزارها با نام Buran را منتشر کرده که از ماه می سال میلادی جاری در قالب خدمات موسوم به “باج‌افزار به‌عنوان سرویس” (Ransomware-as-a-Service – به اختصار RaaS) مورد استفاده مهاجمان قرار گرفته است.

در RaaS، صاحب باج‌افزار، فایل مخرب را به‌عنوان یک خدمت به متقاضی اجاره می‌دهد. متقاضی که ممکن است در برنامه‌نویسی تخصصی نداشته باشد تنها وظیفه انتشار باج‌افزار را بر عهده دارد. در نهایت بخشی از مبلغ اخاذی شده از قربانی به متقاضی و بخشی دیگر به نویسنده می‌رسد. REVil،و GandCrab و Phobos نمونه‌هایی از باج‌افزارهایی هستند که با سرویس RaaS با دیگر خرابکاران به اشتراک گذاشته شده یا همچنان می‌شوند. در حالی که در RaaS سهم دریافت شده توسط سازندگان باج‌افزار از توزیع‌کنندگان معمولاً چیزی بین 30 تا 40 درصد مبلغ اخاذی شده است این سهم در Buran تنها 25 درصد گزارش شده است. ضمن اینکه در صورت ضمانت دریافت‌کننده خدمات از انتشار گسترده آن، حتی این سهم نیز قابل مذاکره اعلام شده است!

متن زیر نمونه‌ای از تبلیغ سرویس RaaS باج‌افزار Buran در یکی از تالارهای گفتگوی اینترنتی (Forum) تبهکاران سایبری است.

Buran is a stable offline cryptoclocker, with flexible functionality and support 24/7.

Functional:

Reliable cryptographic algorithm using global and session keys + random file keys;

Scan all local drives and all available network paths;

High speed: a separate stream works for each disk and network path;

Skipping Windows system directories and browser directories;

Decryptor generation based on an encrypted file;

Correct work on all OSs from Windows XP, Server 2003 to the latest;

The locker has no dependencies, does not use third-party libraries, only mathematics and vinapi;

The completion of some processes to free open files (optional, negotiated);

The ability to encrypt files without changing extensions (optional);

Removing recovery points + cleaning logs on a dedicated server (optional);

Standard options: tapping, startup, self-deletion (optional);

Installed protection against launch in the CIS segment.

Conditions:

They are negotiated individually for each advert depending on volumes and material.

Start earning with us!

گرچه در این توضیحات اشاره شده که باج‌افزار با تمامی نگارش‌ها از سیستم عامل Windows سازگار است اما بررسی‌های انجام شده توسط محققان مک‌آفی نشان می‌دهد که حداقل نسخه‌های فعلی Buran از نگارش‌های قدیمی همچون XP پشتیبانی نمی‌کنند.

همچنین در تبلیغ مذکور اشاره شده که Buran بر روی کشورهای عضو اتحادیه مشترک‌المنافع (جمهوری آذربایجان، ارمنستان، ازبکستان، بلاروس، تاجیکستان، روسیه، قرقیزستان، قزاقستان و مولداوی) اجرا نمی‌شود. اما تحقیقات صورت پذیرفته توسط مک‌آفی از آن حکایت دارد که روسیه، بلاروس و اوکراین تنها کشورهایی هستند که باج‌افزار از دست‌درازی به سیستم‌های آنها خودداری می‌کند. توانایی تشخیص این کشورها قابلیتی است که در بسیاری از باج‌افزارهای با اصالت روسی به چشم می‌خورد؛ با این هدف که گرفتار قوانین مشترک بین این کشورها نشوند.

Buran که به زبان برنامه‌نویسی Delphi نوشته شده با ایجاد کلیدی در محضرخانه (Registry) موجب اجرای خودکار خود در هر بار راه‌اندازی شدن سیستم حتی در حالت Safe Mode می‌شود.

پوشه‌های نمایش داده شده در تصویر زیر از دست‌درازی‌های Buran مصون خواهند ماند:

و همینطور فایل‌های زیر.

نمونه‌ای از اطلاعیه باج‌گیری (Ransomware) در تصویر زیر قابل مشاهده است.

Buran به کد هر فایل رمزگذاری شده، برچسبی که نمونه‌ای از آن در تصویر زیر نمایش داده شده را اضافه می‌کند.

بررسی‌های محققان مک‌آفی نشان می‌دهد که از زمان پیدایش Buran حداقل دو نسخه از آن ارائه شده و نسخه دوم به‌نحو چشم‌گیری در مقایسه با نسخه اول تکامل یافته است.

مک‌آفی، Buran را برگرفته شده از کد باج‌افزار Jumper که در مارس 2019 عرضه شد می‌داند. Jumper خود نیز مبتنی بر باج‌افزار VegaLocker است که در اوایل سال میلادی جاری شناسایی شد.

لازم به ذکر است حداقل برخی نمونه‌ها از Buran از طریق بسته بهره‌جوی Rig منتشر شده‌اند. این بسته بهره‌جو از آسیب‌پذیری‌هایی همچون CVE-2018-15982 در نرم‌افزار Flash Player و CVE-2018-8174 در مرورگر Internet Explorer سوءاستفاده می‌کند.

نسخه‌های بررسی شده در گزارش McAfee با نام‌های زیر قابل شناسایی می‌باشند:

RDN/Ransom

Ransomware-GOS!E60E767E33AC

Ransom

RDN/Ransom

RDN/Generic.cf

Ransom-Buran!

مشروح گزارش McAfee در اینجا قابل دریافت و مطالعه است.