شرکت Cylance از انتشار خانواده جدیدی از باجافزار VegaLocker / Buran در سازمانهای فعال در حوزه فناوری اطلاعات و سلامت در آمریکا و اروپا خبر داده است. Cylance این نسل جدید از Buran را Zeppelin نامیده است.
Buran از ماه می سال میلادی جاری در قالب خدمات موسوم به “باجافزار بهعنوان سرویس” (Ransomware-as-a-Service – به اختصار RaaS) مورد استفاده مهاجمان قرار گرفته است.
به گزارش شرکت مهندسی شبکه گستر، در RaaS، صاحب باجافزار، فایل مخرب را بهعنوان یک خدمت به متقاضی اجاره میدهد. متقاضی که ممکن است در برنامهنویسی تخصصی نداشته باشد تنها وظیفه انتشار باجافزار را بر عهده دارد. در نهایت بخشی از مبلغ اخاذی شده از قربانی به متقاضی و بخشی دیگر به نویسنده میرسد. REVil،وGandCrab و Phobos نمونههایی از باجافزارهایی هستند که با سرویس RaaS با دیگر خرابکاران به اشتراک گذاشته شده یا همچنان میشوند. در حالی که در RaaS سهم دریافت شده توسط سازندگان باجافزار از توزیعکنندگان معمولاً چیزی بین 30 تا 40 درصد مبلغ اخاذی شده است این سهم در Buran تنها 25 درصد گزارش شده است. ضمن اینکه در صورت ضمانت دریافتکننده خدمات از انتشار گسترده آن، حتی این سهم نیز قابل مذاکره اعلام شده است!
از آن زمان تا کنون چندین خانواده جدید از این باجافزار، نظیر Jamper و از حدود یک ماه قبل Zeppelin شناسایی شده است.
بر طبق گزارشی که شرکت Cylance آن را منتشر کرده اصلیترین هدف Zeppelin، حداقل در حال حاضر، سازمانهای فعال در حوزه فناوری اطلاعات و سلامت است. به گفته Cylance، در برخی موارد، مهاجمان با رخنه به شرکتهای موسوم به ارائهدهنده خدمات مدیریتشده (Managed Service Provider)، تلاش کردهاند تا از طریق آنها سازمانهای بیشتری را آلوده به Zeppelin کنند.
گرچه اطلاعات دقیق و روشنی در خصوص نحوه انتشار Zeppelin در دسترس نیست اما اتصال از راه دور مهاجمان به دستگاههای قابل دسترس در بستر اینترنت و با پودمان Remote Desktop – به اختصار RDP – باز و در ادامه اجرای حملات موسوم به سعیوخطا (Brute-force) بهعنوان یکی از روشهای انتشار محتمل دانسته شده است.
Zeppelin نیز همانند بسیاری از باجافزارهای با اصالت روسی، اطمینان حاصل میکند که دستگاه آلوده شده در کشوری از کشورهای عضو سابق اتحاد جماهیر شوروی قرار نداشته باشد. در غیر این صورت اجرای خود را احتمالاً با این هدف که گرفتار قوانین مشترک بین این کشورها نشود متوقف میکند.
همچنین، Zeppelin پروسههای مختلف را از جمله پروسههای مرتبط با پایگاه داده، نرمافزارهای تهیه نسخه پشتیبان و سرویسدهندگان ایمیل متوقف میکند تا امکان رمزگذاری فایلهای بانک داده آنها فراهم شود.
بر خلاف روال معمول در باجافزارها، Zeppelin پس رمزگذاری فایل، پسوند آن را تغییر نمیدهد. در عین حال، برچسب Zeppelin را در کد فایل درج میکند.
فایل اطلاعیه باجگیری (Ransom Note) این باجافزار، ALL YOUR FILES ARE ENCRYPTED !!!.TXT !!! نام دارد. در فایل مذکور از قربانی خواسته میشود تا برای دریافت اطلاعاتی در خصوص اینکه چگونه باج پرداخت شود با نشانیهای ایمیل درج شده در آن تماس حاصل شود.
Zeppelin قابلیت اجرا در قالب فایلهای EXE و DLL و همچنین بهصورت اسکریپت از طریق پروسه معتبر PowerShell را دارا بوده و امکانات زیر را برای مهاجمان فراهم میکند:
- شناسایی نشانی IP دستگاه قربانی و موقعیت آن
- قرار دادن پروسه مخرب باجافزار در بخش Startup سیستم عامل بهمنظور ماندگار کردن خود بر روی دستگاه
- متوقف کردن سرویسهایی خاص و حذف نمودن نسخههای پشتیبان و فایلهای موسوم به Shadow Copy
- از کاراندازی پروسههای خاص
- رمزگشایی خودکار برخی فایلهای رمزگذاری شده
- تزریق خود در پروسه exe
- ارتقای سطح دسترسی خود با هدف اجرای پروسه های مخرب
متأسفانه در حال حاضر امکانی برای بازگرداندن فایلها رمزگذاری شده توسط Zeppelin بدون در اختیار داشتن کلید فراهم نمیباشد.
مشروح گزارش Cylance در اینجا قابل دریافت و مطالعه است.
همچون همیشه بکارگیری روشهای پیشگیرانه در مقابله با باجافزارها و مقاوم سازی پودمان RDP برای ایمن ماندن از گزند باجافزارها توصیه میشود.
نمونههای اشاره شده در گزارش مذکور با نامهای زیر قابل شناسایی میباشند:
Bitdefender:
- Ransom.Buhtrap.50CA2164
- Ransom.Buhtrap.7A9E9D5D
- Ransom.Buhtrap.FA9B7168
- Ransom.Buhtrap.0A9A6C49
- Ransom.Buhtrap.16EB2069
- Ransom.Buhtrap.2543ACBC
McAfee:
- RDN/Ransom
- RDN/Generic.grp
- RDN/Generic.hbg
- GenericRXJE-WA!F8A5D94EBD48
- GenericRXJE-WA!386157F4CAB9
Sophos:
- Mal/Behav-010