ذخیره داده‌های سرقت شده در ایران؛ ادعای عجیب گردانندگان DarkSide

گردانندگان DarkSide مدعی ایجاد بستری شده‌اند که قرار است امکان نگهداری داده‌های سرقت شده از قربانیان این باج‌افزار را در یک سامانه ذخیره‌سازی توزیع‌شده (Distributed) در ایران فراهم کند.

DarkSide در قالب خدمات موسوم به “باج‌افزار به‌عنوان سرویس” (Ransomware-as-a-Service – به اختصار RaaS) برای سایر مهاجمانی که البته مراحل گزینش را با موفقیت طی کرده‌اند قابل استفاده است.

به گزارش شرکت مهندسی شبکه گستر، در RaaS، صاحب باج‌افزار، فایل مخرب را به‌عنوان یک خدمت به متقاضی اجاره می‌دهد. متقاضی که ممکن است در برنامه‌نویسی تخصصی نداشته باشد تنها وظیفه انتشار باج‌افزار را بر عهده دارد. در نهایت بخشی از مبلغ اخاذی‌شده از قربانی به متقاضی و بخشی دیگر به نویسنده می‌رسد.

در DarkSide سهم گردانندگان از مبلغ اخاذی‌شده، بین 10 تا 25 درصد و سهم متقاضی سرویس RaaS (توزیع‌کننده) 75 تا 90 درصد است.

به‌تازگی صاحبان DarkSide اطلاعیه‌ای را در یک تالار گفتگوی روسی‌زبان منتشر کرده‌اند که بر طبق آن این افراد بر روی پروژه‌ای کار می‌کنند که نگهداری داده‌های سرقت‌شده از قربانی را در یک سامانه ذخیره‌سازی توزیع‌شده ممکن می‌کند.

انتشار داده‌های قربانی در صورت عدم پرداخت، تهدیدی است که سال‌ها بود گردانندگان باج‌افزار از آن حرف می‌زدند. در حالی که دسترسی مهاجم به فایل‌های قربانی به‌خصوص در حملات باج‌افزاری مبتنی بر RDP بر کسی پوشیده نیست، موانعی همچون زمانبر بودن انتقال اطلاعات در بستر اینترنت، همواره عامل جدی گرفته نشدن این چنین ادعاها و توخالی دانستن آنها توسط شرکت‌ها و متخصصان فعال در حوزه امنیت بوده است. اما از سال گذشته به‌تدریج صاحبان کارزارهای هدفمند باج افزاری به سرقت داده‌ها (علاوه بر رمزگذاری آنها) روی آوردند. از جمله باج‌افزارهای مطرحی که علاوه بر رمزگذاری، داده‌های قربانی را سرقت می‌کنند می‌توان به Ako،و Avaddon،وClop،وCryLock،وDoppelPaymer،وMaze،وMountLocker،وNemty،وNephilim،وNetwalker،و Pysa/Mespinoza،وRagnar Locker،وRevil،وSekhmet،وSnatch و Snake اشاره کرد.

در جریان این حملات، اطلاعات سرقت‌شده از قربانیانی که از پرداخت مبلغ اخاذی‌شده خودداری می‌کنند در سایت‌هایی که به Leak Site معروف شده‌اند منتشر می‌شود.

در مقابل، نهادهای قانونی و شرکت‌های امنیت سایبری نیز برای از کاراندازی و انهدام سایت‌های مذکور تلاش می‌کنند.

اکنون گردانندگان DarkSide از کار بر روی یک سامانه ذخیره‌سازی توزیع‌شده (غیرمتمرکز) خبر داده‌اند؛ به گفته آنها، در سامانه مذکور، تمامی داده‌ها بر روی چندین سرور تکثیر می‌شود و بنابراین حذف داده‌ها از روی یکی از سرورها موجب معدوم شدن داده‌ها نخواهد شد.

در اطلاعیه DarkSide اشاره شده که این افراد به‌طور خاص از سرورهایی در ایران یا جمهوری‌های به گفته آنها ناشناخته که امکان مسدود شدن آنها میسر نیست استفاده می‌کنند. سامانه مذکور نیز قرار است با شناسایی سرور قابل دسترس لینک مناسب حاوی اطلاعات را در اختیار کاربر قرار دهد.

همچنین در بخشی از اطلاعیه ادعا شده که مهاجمان حرفه‌ای با مشارکت در RaaS باج‌افزار DarkSide، درآمدی به‌طور میانگین 400 هزار دلار به ازای هر قربانی را نصیب خود خواهند کرد.

استفاده از خدمات RaaS این باج‌افزار مستلزم قبولی در فرایند گزینش گردانندگان DarkSide است.

این تالار گفتگوی اینترنتی اعضا را قادر به واریز بیت‌کوین به کیف پولی که در کنترل سایت است می‌کند تا از این طریق به‌عنوان واسطی برای خرید و فروش خدمات و اقلام غیرقانونی توسط اعضا عمل کند. گردانندگان DarkSide نیز برای نشان دادن جدیتشان در کسب‌وکار و همچنین پشتوانه مالی خود، 20 بیت‌کوین – معادل حدود 305 هزار دلار – را در کیف ارز رمز مذکور واریز کردند و آن را تا 1 میلیون دلار قابل افزایش می‌دانند.

حداقل در ظاهر، این مهاجمان حمله به مراکز درمانی (همچون بیمارستان‌ها و آسایشگاه‌ها)، آموزشی (نظیر مدارس و دانشگاه‌ها)، سازمان‌های غیرانتفاعی و بخش‌های دولتی را غیرمجاز و مغایر با مرامنامه خود می‌دانند.

لازم به ذکر است که این مطلب به نقل از سایت BleepingComputer در اتاق خبر شرکت مهندسی شبکه گستر منتشر شده و این شرکت نمی‌تواند صحت جزییات این خبر را مستقلا تایید یا رد کند.