باج‌افزار Zeppelin؛ خانواده‌ای جدید از Buran

شرکت Cylance از انتشار خانواده جدیدی از باج‌افزار VegaLocker / Buran در سازمان‌های فعال در حوزه فناوری اطلاعات و سلامت در آمریکا و اروپا خبر داده است. Cylance این نسل جدید از Buran را Zeppelin نامیده است.

Buran از ماه می سال میلادی جاری در قالب خدمات موسوم به “باج‌افزار به‌عنوان سرویس” (Ransomware-as-a-Service – به اختصار RaaS) مورد استفاده مهاجمان قرار گرفته است.

به گزارش شرکت مهندسی شبکه گستر، در RaaS، صاحب باج‌افزار، فایل مخرب را به‌عنوان یک خدمت به متقاضی اجاره می‌دهد. متقاضی که ممکن است در برنامه‌نویسی تخصصی نداشته باشد تنها وظیفه انتشار باج‌افزار را بر عهده دارد. در نهایت بخشی از مبلغ اخاذی شده از قربانی به متقاضی و بخشی دیگر به نویسنده می‌رسد. REVil،وGandCrab و Phobos نمونه‌هایی از باج‌افزارهایی هستند که با سرویس RaaS با دیگر خرابکاران به اشتراک گذاشته شده یا همچنان می‌شوند. در حالی که در RaaS سهم دریافت شده توسط سازندگان باج‌افزار از توزیع‌کنندگان معمولاً چیزی بین 30 تا 40 درصد مبلغ اخاذی شده است این سهم در Buran تنها 25 درصد گزارش شده است. ضمن اینکه در صورت ضمانت دریافت‌کننده خدمات از انتشار گسترده آن، حتی این سهم نیز قابل مذاکره اعلام شده است!

از آن زمان تا کنون چندین خانواده جدید از این باج‌افزار، نظیر Jamper و از حدود یک ماه قبل Zeppelin شناسایی شده است.

بر طبق گزارشی که شرکت Cylance آن را منتشر کرده اصلی‌ترین هدف Zeppelin، حداقل در حال حاضر، سازمان‌های فعال در حوزه فناوری اطلاعات و سلامت است. به گفته Cylance، در برخی موارد، مهاجمان با رخنه به شرکت‌های موسوم به ارائه‌دهنده خدمات مدیریت‌شده (Managed Service Provider)، تلاش کرده‌اند تا از طریق آنها سازمان‌های بیشتری را آلوده به Zeppelin کنند.

گرچه اطلاعات دقیق و روشنی در خصوص نحوه انتشار Zeppelin در دسترس نیست اما اتصال از راه دور مهاجمان به دستگاه‌های قابل دسترس در بستر اینترنت و با پودمان Remote Desktop – به اختصار RDP – باز و در ادامه اجرای حملات موسوم به سعی‌وخطا (Brute-force) به‌عنوان یکی از روش‌های انتشار محتمل دانسته شده است.

Zeppelin نیز همانند بسیاری از باج‌افزارهای با اصالت روسی، اطمینان حاصل می‌کند که دستگاه آلوده شده در کشوری از کشورهای عضو سابق اتحاد جماهیر شوروی قرار نداشته باشد. در غیر این صورت اجرای خود را احتمالاً با این هدف که گرفتار قوانین مشترک بین این کشورها نشود متوقف می‌کند.

همچنین، Zeppelin پروسه‌های مختلف را از جمله پروسه‌های مرتبط با پایگاه داده، نرم‌افزارهای تهیه نسخه پشتیبان و سرویس‌دهندگان ایمیل متوقف می‌کند تا امکان رمزگذاری فایل‌های بانک داده آنها فراهم شود.

بر خلاف روال معمول در باج‌افزارها، Zeppelin پس رمزگذاری فایل، پسوند آن را تغییر نمی‌دهد. در عین حال، برچسب Zeppelin را در کد فایل درج می‌کند.

فایل اطلاعیه باج‌گیری (Ransom Note) این باج‌افزار، ALL YOUR FILES ARE ENCRYPTED !!!.TXT !!! نام دارد. در فایل مذکور از قربانی خواسته می‌شود تا برای دریافت اطلاعاتی در خصوص اینکه چگونه باج پرداخت شود با نشانی‌های ایمیل درج شده در آن تماس حاصل شود.

Zeppelin قابلیت اجرا در قالب فایل‌های EXE و DLL و همچنین به‌صورت اسکریپت از طریق پروسه معتبر PowerShell را دارا بوده و امکانات زیر را برای مهاجمان فراهم می‌کند:

• شناسایی نشانی IP دستگاه قربانی و موقعیت آن
• قرار دادن پروسه مخرب باج‌افزار در بخش Startup سیستم عامل به‌منظور ماندگار کردن خود بر روی دستگاه
• متوقف کردن سرویس‌هایی خاص و حذف نمودن نسخه‌های پشتیبان و فایل‌های موسوم به Shadow Copy
• از کاراندازی پروسه‌های خاص
• رمزگشایی خودکار برخی فایل‌های رمزگذاری شده
• تزریق خود در پروسه exe
• ارتقای سطح دسترسی خود با هدف اجرای پروسه های مخرب

متأسفانه در حال حاضر امکانی برای بازگرداندن فایل‌ها رمزگذاری شده توسط Zeppelin بدون در اختیار داشتن کلید فراهم نمی‌باشد.

مشروح گزارش Cylance در اینجا قابل دریافت و مطالعه است.

همچون همیشه بکارگیری روش‌های پیشگیرانه در مقابله با باج‌افزارها و مقاوم سازی پودمان RDP برای ایمن ماندن از گزند باج‌افزارها توصیه می‌شود.

نمونه‌های اشاره شده در گزارش مذکور با نام‌های زیر قابل شناسایی می‌باشند:

Bitdefender:

• Ransom.Buhtrap.50CA2164
• Ransom.Buhtrap.7A9E9D5D
• Ransom.Buhtrap.FA9B7168
• Ransom.Buhtrap.0A9A6C49
• Ransom.Buhtrap.16EB2069
• Ransom.Buhtrap.2543ACBC

McAfee:

• RDN/Ransom
• RDN/Generic.grp
• RDN/Generic.hbg
• GenericRXJE-WA!F8A5D94EBD48
• GenericRXJE-WA!386157F4CAB9

Sophos:

• Mal/Behav-010