رمزگشای مخفی فایلهای قربانیان BlackMatter
محققان شرکت امنیتی امسیسافت (.Emsisoft, Ltd)، از تابستان امسال بیسروصدا در حال رمزگشایی فایلهای قربانیان باجافزار BlackMatter بودهاند.
BlackMatter یک گروه باجافزاری نسبتاً جدید است که حملات آن از تابستان امسال بلافاصله پس از اینکه باجافزار دیگری به نام DarkSide فعالیت خود را تعطیل کرد، آغاز شده است. ۳۰ تیر، گردانندگان این باجافزار در یکی از تالارهای گفتگوی اینترنتی هکرها، اقدام به انتشار پیامهایی در خصوص خرید اطلاعات دسترسی شبکههای سازمانی کردند.
با بررسی پیامهای مهاجمان و نحوه عملکرد آنها به نظر میرسد که گردانندگان باجافزار BlackMatter افرادی بسیار حرفهای بوده و به احتمال زیاد باجافزار آنها، بر پایه باجافزاری مطرح و سابقهدار توسعه داده شده است. برخی محققان نیز معتقدند باجافزار BlackMatter محصول گروهی است که قبلاً با DarkSide و REvil همکاری داشتهاند. پس از یافتن نمونههای این باجافزار توسط محققان، مشخص شد که روالها و روش رمزگذاری مورد استفاده در این باجافزار، همان شیوه منحصربهفرد مورد استفاده در DarkSide است.
سال گذشته گزارش شد که گردانندگان باجافزار REvil، برای فرار از پیگیردهای قانونی، اقدام به تغییر نام خود به DarkSide کردهاند. در عین حال ظهور DarkSide موجب افول REvil نشد و طی یک سال گذشته هر دوی آنها فعال ماندند.
گروه باجافزاری DarkSide حملات باجافزاری متعددی را در آگوست 2020 علیه سازمانها در سراسر جهان انجام دادند. حمله آنها به شرکت خط لوله کولونیال، بزرگترین خط لوله سوخت در ایالات متحده، حساسیت نهادهای قانونی به جرایم سایبری را تشدید کرد. این حمله منجر به توقف سرورهای آنها و پرداخت 4 میلیون دلار به عنوان باج جهت دریافت کلید رمزگشا و بازیابی سرورهای خط لوله کولونیال شد.
گروه باجافزاری DarkSide پس از حمله مذکور، در پی اعمال فشار از سوی نهادهای قانونی ایالات متحده، فعالیت خود را تعطیل کردند. با این حال، همواره باجافزارها پس از توقف فعالیت خود، با نامهای جدید بازمیگردند. در مورد DarkSide نیز این مساله صادق است و در ماه ژوئیه با نام BlackMatter بازگشته است.
از آن زمان تا کنون، تیمهای تحقیقاتی از جمله شرکت امسیسافت در پی یافتن باگهایی در الگوریتمهای رمزگذاری باجافزار بودهاند تا امکان ساخت رمزگشا را فراهم کنند و به قربانیان باجافزار کمک کنند تا فایلهای رمزگذاری شده خود را بازیابی کنند.
با این حال، به منظور جلوگیری از رفع باگهای موجود در الگوریتمهای رمزگذاری باجافزارها توسط نویسندگان باجافزار، محققان به صورت بیسروصدا با شرکا و نهادهای قانونی مورد اعتماد و تیم پاسخ به رویداد همکاری کردهاند. در این راستا، اخبار این رمزگشاها در دسترس عموم قرار نگرفته است.
بلافاصله پس از شروع حملات باجافزار BlackMatter، محققان امسیسافت، باگی را کشف کردند که آنها را قادر میساخت بدون پرداخت باج، کلید رمزگشایی را جهت بازیابی فایلهای رمزگذاری شده قربانیان ایجاد کنند. پس از آن امسیسافت نهادهای قانونی، شرکتهای مذاکره کننده باجافزار، شرکتهای پاسخگویی به رویدادها و شرکای مورد اعتماد خود را در سراسر جهان در خصوص این رمزگشا مطلع ساخت.
نهادهای مذکور، پس از این اطلاعرسانی، قربانیان BlackMatter را جهت بازیابی فایلهای رمزگذاری شده بدون پرداخت باج، به شرکت امسیسافت ارجاع میدادند. از آن زمان آنها مشغول کمک به قربانیان این باجافزار جهت بازیابی اطلاعات بوده و به آنها کمک نموده که از پرداخت میلیونها دلار باج مطالبه شده، اجتناب کنند. به غیر از موارد ارجاع داده شده توسط نهادهای فوق، شرکت امسیسافت نیز با قربانیانی که نمونههای باجافزار و اطلاعیههای باجگیری (Ransom Note) را به صورت عمومی در سایتهای مختلف بارگذاری میکردند، تماس میگرفت.
پس از انتشار نمونه باجافزار BlackMatter به صورت عمومی، قابلیت استخراج اطلاعیههای باجگیری فراهم شد و محققان شرکت از طریق آن به مذاکرات بین قربانی و گروه باجافزاری دسترسی پیدا کردند. پس از شناسایی قربانی، امسیسافت به طور خصوصی با مهاجمان باجافزاری در خصوص رمزگشا تماس گرفته و مذاکره مینمودند تا قربانیان مجبور به پرداخت باج نباشند.
حال که محققان توانسته بودند به نمونهها و اطلاعیههای باجگیری باجافزار BlackMatter دسترسی پیدا کنند، افراد دیگر نیز میتوانستند این اطلاعات را بدست آورند و از آنها برای ربودن چتهای مذاکره یا تصاویر اشتراکگذاری شده چتها در توییتر استفاده کنند.
این امر در نهایت باعث شد نویسندگان باجافزار BlackMatter، سایت مذاکرات خود را قفل کنند تا فقط قربانیان بتوانند به آنها دسترسی پیدا کنند و دیگر محققان نتوانند قربانیان را از این طریق پیدا کنند. قفل کردن سایت مذاکرات توسط گروه باجافزاری، منجر به متوقف شدن فعالیت محققان امسیسافت و سایر افراد در این روند شده است.
هنگامی که قربانیان از پرداخت باج امتناع کردند، نویسندگان باجافزار به طور فزایندهای به مذاکرهکنندگان باجافزار مشکوک و عصبانی شدند. به نقل از یکی از مذاکرهکنندگان، بعد از اینکه هیچ یک از قربانیان حاضر به پرداخت باج نشدند، از طرف مهاجمان BlackMatter به مرگ نیز تهدید شدند.
متأسفانه مهاجمان در پایان سپتامبر از رمزگشا مطلع شدند و توانستند باگهایی را که به امسیسافت اجازه رمزگشایی فایلهای قربانیان را میداد، برطرف کنند. یکی از روشهایی که مهاجمان ممکن است از وجود این باگ آگاه شوند، رصد شبکهها و ارتباطات شرکت پس از نفوذ است. به همین دلیل است که محققان امسیسافت همیشه به قربانیان توصیه میکنند که از یک کانال ارتباطی امن، مانند گروه سیگنال اختصاصی (Dedicated Signal Group) استفاده کنند و همچنین اطمینان حاصل کنند که هیچ یک از شبکههای آلوده شده در فرآیندهای بازیابی عمومی دخیل نیستند.
پس از این که نویسندگان باجافزار BlackMatter، باگها را برطرف نمودند، شرکت امسیسافت دیگر قادر به رمزگشایی فایلهایی که پس از آن تاریخ مزگذاری شده نیست، اما همچنان این شرکت به قربانیان پیشنهاد میکند که با محققان و شرکتهای امنیتی تماس بگیرند تا ببینند آیا از نمونههای جدیدتر این باجافزار میتوانند باگی کشف کنند.
محققان به قربانیان توصیه میکنند تا حملات باجافزاری را به نیروهای امنیتی و نهادهای قانونی اطلاع دهند. این نهادها میتوانند شاخصهای ارزشمندی از آلودگی را به منظور تحقیق بر روی آنها، جمعآوری نموده و در صورت موجود بودن رمزگشا، قربانیان را به شرکتهای ارائه دهنده کلید رمزگشا ارجاع دهند.