تعطیلی مجدد باج‌افزار REvil

در پی حملات موسوم به Hijacking در درگاه پرداخت Tor و سایت نشت‌داده‌های باج‌افزار REvil، فعالیت این باج‌افزار برای بار دیگر متوقف شده است.

گروه باج‌افزاری REvil که در نیمه اول سال ۲۰۱۹ ظاهر شد، با نام‌های Sodin و Sodinokibi نیز شناخته می‌شود. تصور می‌شود که این گروه جانشین گروه باج‌افزاری GandCrab است که البته اکنون دست از فعالیت کشیده است. REvil نام باج‌افزاری است که در قالب خدمات موسوم به “باج‌افزار به عنوان سرویس” (Ransomware-as-a-Service – به اختصار RaaS) به سایر مهاجمان فروخته می‌شود و توانسته طرفداران زیادی را در بازارهای زیرزمینی تبهکاران سایبری به خود جلب کند.

در خدمات RaaS، صاحب باج‌افزار، فایل مخرب را به‌عنوان یک خدمت به متقاضی اجاره می‌دهد. متقاضی که ممکن است در برنامه‌نویسی تخصصی نداشته باشد تنها وظیفه انتشار باج‌افزار را بر عهده دارد. در نهایت بخشی از مبلغ اخاذی شده از قربانی به نویسنده باج‌افزار و بخشی دیگر به متقاضی سرویس می‌رسد.

از زمان راه‌اندازی REvil در سال ۲۰۱۹، این باج‌افزار حملات متعددی را علیه شرکت‌های معروفی انجام داده است.

پس از آن در 22 تیر 1400، گردانندگان REvil به طرز مرموزی سایت‌های پرداخت باج را غیرفعال و به طور موقت زیرساخت‌های مخرب خود را از کار انداختند. برخی منابع احتمال می‌دادند که این اتفاقات در نتیجه مذاکرات کاخ سفید با مسکو در مورد لزوم توقف حملات باج‌افزاری مهاجمان روسی به سازمان‌ها و زیرساخت‌های آمریکا رخ داده و فشار دولت روسیه عامل اصلی تعطیلی REvil بوده است.

اما مدتی بعد این باج‌افزار در اوایل شهریور ماه حملات خود را مجدد از سر گرفت و شرکت ضدویروس بیت‌دیفندر (Bitdefender) نیز در همان ماه ابزار رایگانی را که فایل دستورالعمل آن در نشانی زیر قابل دریافت است، منتشر کرد.

https://www.nomoreransom.org/uploads/REvil_documentation.pdf

ابزار رمزگشای مذکور، امکان رمزگشایی فایل‌های رمزگذاری شده را برای همه قربانیان REvil که فایل آنها قبل از ۲۲ تیر رمزگذاری شده بود، بدون نیاز به پرداخت مبلغ اخاذی شده فراهم می‌کرد. بیت‌دیفندر این ابزار رمزگشا را با همکاری یک نهاد قانونی ایجاد و منتشر کرده بود. این ابزار قادر بود کل کامپیوتر را به طور همزمان رمزگشایی نموده یا پوشه‌های خاصی را که مشخص شده، رمزگشایی کند.

بنا به گزارش یکی از محققان شرکت رکوردد فیوچر (.Recorded Future, Inc)، باج‌افزار REvil که در اوایل شهریور ماه حملات خود را مجدد از سر گرفته بود، در اوایل روز 25 مهر ماه، سایت Tor و دامنه آن (onion domains) توسط مهاجمانی ناشناس از طریق کلیدهای خصوصی (Private Key) این باج‌افزار مورد حمله موسوم به XSS Hijacking قرار گرفته و احتمالاً مهاجمان از سایت‌های آن نیز نسخه پشتیبان تهیه کرده‌اند.

برای راه‌اندازی سرویس Tor (یک دامنه onion.) باید یک جفت کلید خصوصی و عمومی که جهت راه‌اندازی اولیه سرویس نیز استفاده می‌شود، ایجاد شود. کلید خصوصی باید مخفی بماند و فقط در اختیار کاربران قابل اعتماد با سطح دسترسی بالا قرار گیرد، زیرا هرکسی که این کلید را در اختیار داشته باشد می‌تواند از آن برای راه‌اندازی همان سرویس onion. در سرور خود استفاده کند.

از آنجا که اکنون دامنه‌ها مورد حمله Hijacking قرار گرفته‌اند، به این معنی است که مهاجمان به کلیدهای خصوصی این سرویس دسترسی دارند. البته هنوز جزییات این حمله برای کسی روشن نیست و مشخص نشده که چه کسی سرورهای این باج‎افزار را مورد حمله قرار داده است. لذا این احتمال نیز وجود دارد که مهاجمان سعی کنند کنترل حمله را مجدد به دست آورند.

پس از ازسرگیری فعالیت‌های REvil، نویسندگان این باج‌افزار برای جذب کاربران با مشکل روبرو شده‌اند، تا جایی که میزان کمیسیون‌های شرکای خود (متقاضیان خدمات RaaS)  را تا 90 درصد افزایش داده‌اند تا سایر تبهکاران سایبری را ترغیب به همکاری با خود کنند.

احتمال می‌رود در پی حملات موسوم به Hijacking در درگاه پرداخت Tor و سایت نشت‌داده‌های باج‌افزار REvil، فعالیت این باج‌افزار برای همیشه متوقف شده باشد. با این حال، در مورد باج‌افزارها هیچ خبر خوشی برای همیشه دوام نمی‌آورد و احتمالاً به زودی شاهد تغییر نام این باج‌افزار در قالب حملات جدیدی خواهیم بود.