اخیراً حملات باجافزاری جدیدی به نام Rook در فضای جرایم سایبری خبرساز شده است. گردانندگان این باجافزار اعلام کردهاند که به واسطه نیاز مبرم به “مقدار زیادی پول”، به شبکه سازمانها نفوذ نموده و اقدام به رمزگذاری دستگاهها نمودهاند.
در این گزارش که با همکاری شرکت مهندسی شبکه گستر و مرکز مدیریت راهبردی افتای ریاست جمهوری تهیه گردیده این باجافزار جدید مورد بررسی قرار گرفته است.
اگرچه اظهارات اولیه گردانندگان این باجافزار در پورتال نشت دادههای Rook مضحک بود، اما گزارش نخستین قربانی این باجافزار در سایت مذکور به وضوح نشان داد که گردانندگان Rook به دنبال سرگرمی و تفریح نیستند و هدف آنها اخاذی است.
محققان به بررسی دقیق این گونه جدید باجافزار پرداختهاند و علاوه بر جزئیات فنی و زنجیره آلودگی، شباهت آن با باجافزار Babuk را نیز آشکار کردهاند.
در حملات باجافزاری Rook، آلودگی اولیه معمولاً از طریق ایمیلهای موسوم به Phishing و یا حتی دانلود فایلهای Torrent شروع شده و از Cobalt Strike برای انتقال و انتشار کد مخرب باجافزار استفاده شده است. به منظور جلوگیری از شناسایی، کدهای باجافزاری با UPX یا دیگر رمزگذارها بستهبندی شدهاند. نتایج این تحقیق نشان میدهد که کدهای باجافزار Rook هنگام اجرا، پروسههای مربوط به ابزارهای امنیتی یا هر پروسهای که میتواند رمزگذاری را مختل کند، خاتمه میدهند.
محققان در ادامه عنوان کردهاند که در برخی موارد راهانداز kph.sys از Process Hacker در خاتمه پروسههایی که فرایند رمزگذاری را مسدود میکنند، نقش دارد. اما در موارد دیگر از ابزارهای دیگری استفاده میشود. این امر احتمالاً نشان دهنده نیاز مهاجم به استفاده از درایور برای غیرفعال کردن راهکارهای امنیتی محلی در رویدادهای خاص است.
Rook همچنین از vssadmin.exe برای حذف رونوشتهای موسوم به Volume Shadow Copy استفاده میکند تا امکان بازگردانی فایلهای حذف شده یا رمزگذاری شده از طریق آنها ممکن نباشد.
این باجافزار پس از رمزگذاری فایلها، پسوند “Rook.” را به آنها اضافه نموده و سپس خود را از سیستم هک شده حذف میکند.
مهاجمان یک اطلاعیه باجگیری (Ransom note) به نام HowToRestoreYourFiles.txt در کامپیوتر آلوده شده و سیستمهای رمزگذاری شده قرار میدهند. در اطلاعیه مذکور نوشته شده که قربانی با دسترسی به وبسایت Rook Tor یا ایمیل زدن به مهاجمان، با آنها تماس بگیرد. مهاجمان قربانیان را تهدید میکنند که در صورت عدم پرداخت باج مطالبه شده، دادههای سرقت شده را به صورت عمومی منتشر میکنند. همچنین به قربانیان هشدار میدهند که در صورت مذاکره با فروشندگان محصولات امنیتی یا نهادهای قانونی، کلید خصوصی رمزگشایی فایلهای رمزگذاری شده را از بین میبرند.
بنا بر اظهارات محققان، شباهتهای متعددی بین کد Rook و Babuk وجود دارد. Babuk Locker، که با نام Babyk نیز شناخته میشود، در قالب خدمات موسوم به “باجافزار به عنوان سرویس” (Ransomware-as-a-Service – به اختصار RaaS) توسعه داده شده بود. فعالیت باجافزار Babuk از ابتدای سال ۲۰۲۱ آغاز شد و گردانندگان آن سازمانهای فعال در حوزههای مختلف را به منظور سرقت و رمزگذاری دادهها مورد هدف قرار میدادند.
در سپتامبر 2021 کد منبع (Source Code) باجافزار Babuk در یک تالار گفتگوی اینترنتی هکرهای روسی زبان فاش شد. یکی از اعضای گروه Babuk مدعی بود به دلیل ابتلاء به سرطانی علاجناپذیر، تصمیم به انتشار کد این باجافزار مخرب گرفته است. از آن زمان تاکنون کدهای فاش شده این باجافزار توسط گروههای مختلفی برای راهاندازی حملات باجافزاری مورد استفاده گرفته است. با توجه به شباهتهای کد میان دو باجافزار Babuk و Rook، محققان بر این باورند که Rook از کد منبع فاش شده باجافزار Babuk استفاده میکند. Rook از فراخوانیها و توابع API مشابه که قبلاً در Babuk نیز بکارگرفته شده بود، جهت بازیابی نام و وضعیت هر یک از سرویسهای در حال اجرا و خاتمه دادن به آنها استفاده میکند.
همچنین فهرست پروسهها، شمارش راهاندازهای محلی و سرویسهای متوقف شده در Windows برای هر دو باجافزار Rook و Babuk یکسان بوده و شامل پروسههای مربوط به بستر بازی محبوب Steam و سرویس گیرنده ایمیل Mozilla Firefox ،Outlook ،Microsoft Office و Thunderbird است. شباهتهای دیگر بین دو باجافزار مذکور شامل نحوه حذف رونوشتهای موسوم به Volume Shadow Copy توسط رمزگذار، بکارگیری Windows Restart Manager API جهت متوقف ساختن پروسهها در محصولات Microsoft Office و بستر بازی Steam میباشد.
با این که هنوز خیلی زود است تا در خصوص میزان پیچیدگی حملات صورت گرفته توسط باجافزار Rook اظهارنظر شود، آنچه مسلم است این است که عواقب آلودگی توسط باجافزار مذکور بسیار شدید بوده و منجر به رمزگذاری و سرقت دادهها میشود.
در حال حاضر در سایت نشت داده Rook به نام دو قربانی اشاره شده است. 9 آذر 1400، گروه باجافزار Rook، نام اولین قربانی را که یک موسسه مالی در قراقزستان میباشد، در سایت نشت داده خود منتشر کرد. مهاجمان بیش از 1 هزار گیگابایت از اطلاعات موسسه مذکور را سرقت و اقدام به رمزگذاری فایلهای مذکور کردند. قربانی دوم یک متخصص هوانوردی و هوافضا هندی است که نام آن نیز به تازگی در سایت مذکور اضافه شده است. بنابراین این باجافزار در مراحل اولیه فعالیت خود میباشد.
چنانچه وابستگان ماهر این باجافزار جدید به RaaS بپیوندند، Rook میتواند در آینده به تهدید بزرگی برای سازمانها تبدیل شود. این را به آسیبپذیری اخیر کشف شده در Log4j نیز اضافه کنید که میتواند دسترسی اولیه را بدون مهارت فنی بالا برای مهاجمان امکانپذیر سازد. به نظر میرسد تیمهای امنیتی سازمانها، سال میلادی شلوغ و پرچالشی پیش رو دارند. لذا ضرورت دارد راهبران امنیتی پیشگیری را سرلوحه کار خود قرار داده و در اسرع وقت نسبت به تهیه نسخههای پشتیبان از فایلها، وصله آسیبپذیریهای ترمیم شده، و بهروزرسانی نرمافزارها و سختافزارهای مورد استفاده اقدام نمایند.
جزییات بیشتر در خصوص باجافزار Rook در نشانی زیر قابل مطالعه است:
https://www.sentinelone.com/labs/new-rook-ransomware-feeds-off-the-code-of-babuk/
منابع:
https://www.fortiguard.com/threat-signal-report/4359
https://cyware.com/news/a-rookie-ransomware-reflects-the-characteristics-of-babuk-16715c68