گردانندگان DarkSide مدعی ایجاد بستری شدهاند که قرار است امکان نگهداری دادههای سرقت شده از قربانیان این باجافزار را در یک سامانه ذخیرهسازی توزیعشده (Distributed) در ایران فراهم کند.
DarkSide در قالب خدمات موسوم به “باجافزار بهعنوان سرویس” (Ransomware-as-a-Service – به اختصار RaaS) برای سایر مهاجمانی که البته مراحل گزینش را با موفقیت طی کردهاند قابل استفاده است.
به گزارش شرکت مهندسی شبکه گستر، در RaaS، صاحب باجافزار، فایل مخرب را بهعنوان یک خدمت به متقاضی اجاره میدهد. متقاضی که ممکن است در برنامهنویسی تخصصی نداشته باشد تنها وظیفه انتشار باجافزار را بر عهده دارد. در نهایت بخشی از مبلغ اخاذیشده از قربانی به متقاضی و بخشی دیگر به نویسنده میرسد.
در DarkSide سهم گردانندگان از مبلغ اخاذیشده، بین 10 تا 25 درصد و سهم متقاضی سرویس RaaS (توزیعکننده) 75 تا 90 درصد است.
بهتازگی صاحبان DarkSide اطلاعیهای را در یک تالار گفتگوی روسیزبان منتشر کردهاند که بر طبق آن این افراد بر روی پروژهای کار میکنند که نگهداری دادههای سرقتشده از قربانی را در یک سامانه ذخیرهسازی توزیعشده ممکن میکند.
انتشار دادههای قربانی در صورت عدم پرداخت، تهدیدی است که سالها بود گردانندگان باجافزار از آن حرف میزدند. در حالی که دسترسی مهاجم به فایلهای قربانی بهخصوص در حملات باجافزاری مبتنی بر RDP بر کسی پوشیده نیست، موانعی همچون زمانبر بودن انتقال اطلاعات در بستر اینترنت، همواره عامل جدی گرفته نشدن این چنین ادعاها و توخالی دانستن آنها توسط شرکتها و متخصصان فعال در حوزه امنیت بوده است. اما از سال گذشته بهتدریج صاحبان کارزارهای هدفمند باج افزاری به سرقت دادهها (علاوه بر رمزگذاری آنها) روی آوردند. از جمله باجافزارهای مطرحی که علاوه بر رمزگذاری، دادههای قربانی را سرقت میکنند میتوان به Ako،و Avaddon،وClop،وCryLock،وDoppelPaymer،وMaze،وMountLocker،وNemty،وNephilim،وNetwalker،و Pysa/Mespinoza،وRagnar Locker،وRevil،وSekhmet،وSnatch و Snake اشاره کرد.
در جریان این حملات، اطلاعات سرقتشده از قربانیانی که از پرداخت مبلغ اخاذیشده خودداری میکنند در سایتهایی که به Leak Site معروف شدهاند منتشر میشود.
در مقابل، نهادهای قانونی و شرکتهای امنیت سایبری نیز برای از کاراندازی و انهدام سایتهای مذکور تلاش میکنند.
اکنون گردانندگان DarkSide از کار بر روی یک سامانه ذخیرهسازی توزیعشده (غیرمتمرکز) خبر دادهاند؛ به گفته آنها، در سامانه مذکور، تمامی دادهها بر روی چندین سرور تکثیر میشود و بنابراین حذف دادهها از روی یکی از سرورها موجب معدوم شدن دادهها نخواهد شد.
در اطلاعیه DarkSide اشاره شده که این افراد بهطور خاص از سرورهایی در ایران یا جمهوریهای به گفته آنها ناشناخته که امکان مسدود شدن آنها میسر نیست استفاده میکنند. سامانه مذکور نیز قرار است با شناسایی سرور قابل دسترس لینک مناسب حاوی اطلاعات را در اختیار کاربر قرار دهد.
همچنین در بخشی از اطلاعیه ادعا شده که مهاجمان حرفهای با مشارکت در RaaS باجافزار DarkSide، درآمدی بهطور میانگین 400 هزار دلار به ازای هر قربانی را نصیب خود خواهند کرد.
استفاده از خدمات RaaS این باجافزار مستلزم قبولی در فرایند گزینش گردانندگان DarkSide است.
این تالار گفتگوی اینترنتی اعضا را قادر به واریز بیتکوین به کیف پولی که در کنترل سایت است میکند تا از این طریق بهعنوان واسطی برای خرید و فروش خدمات و اقلام غیرقانونی توسط اعضا عمل کند. گردانندگان DarkSide نیز برای نشان دادن جدیتشان در کسبوکار و همچنین پشتوانه مالی خود، 20 بیتکوین – معادل حدود 305 هزار دلار – را در کیف ارز رمز مذکور واریز کردند و آن را تا 1 میلیون دلار قابل افزایش میدانند.
حداقل در ظاهر، این مهاجمان حمله به مراکز درمانی (همچون بیمارستانها و آسایشگاهها)، آموزشی (نظیر مدارس و دانشگاهها)، سازمانهای غیرانتفاعی و بخشهای دولتی را غیرمجاز و مغایر با مرامنامه خود میدانند.
لازم به ذکر است که این مطلب به نقل از سایت BleepingComputer در اتاق خبر شرکت مهندسی شبکه گستر منتشر شده و این شرکت نمیتواند صحت جزییات این خبر را مستقلا تایید یا رد کند.