شرکت فورتینت (Fortinet) در گزارشی به بررسی و تحلیل دو باجافزار Sirattacker و ALC پرداخته است. بر اساس گزارش مذکور، به نظر میرسد، ایران، در فهرست اصلیترین اهداف گردانندگان باجافزار ALC قرار دارد.
در این گزارش که با همکاری شرکت مهندسی شبکه گستر و مرکز مدیریت راهبردی افتای ریاست جمهوری تهیه گردیده، چکیده گزارش مذکور ارائه شده است.
باجافزار Sirattacker
Sirattacker یکی از جدیدترین نسخههای خانواده باجافزاری Chaos است. این باجافزار نخستین بار در اواسط فوریه 2023 منتشر شد. توزیعهای مختلفی از Chaos در شبکههای زیرزمینی دارکوب (Dark Web) قابل دسترس است که امکان ساخت نسخهای از آنها با تنظیمات اختصاصی نیز فراهم است.
به نظر میرسد باجافزار Sirattacker در ظاهر یک برنامه استخراج رمزارز اتریوم (Ethereum) توزیع و منتشر میشود. نماد نمونهای از فایل ناقل این باجافزار در زیر نمایش داده شده است.
اجرای باجافزار Sirattacker
هنگامی که باجافزار Sirattacker اجرا میشود، فایلهای دستگاه قربانی را رمزگذاری کرده و چهار نویسه را بهصورت تصادفی بهعنوان پسوند به فایلهای رمزشده الصاق میکند.
نسخ قدیمیتر Chaos، فایلهای بزرگتر از ۲،۱۱۷،۱۵۲ بایت را با بایتهای تصادفی رونویسی میکردند که این امر بازیابی فایلها را غیرممکن میکرد. با این حال، در برخی موارد، مهاجمان باجافزار Sirattacker با علم به اینکه اکثر فایلها غیرقابل بازیابی هستند، از قربانی درخواست باج میکردند. بر اساس بررسیهای فورتینت، این باگ در نسخ جدید این باجافزار برطرف شده است.
اطلاعیه باجگیری (Ransom Note) باجافزار Sirattacker، فایلی با نام How to Recovery.bat است.
با پایان رمزگذاری فایلها، اطلاعیه باجگیری در Command Prompt نمایش داده میشود.
تصویر پسزمینه (Wallpaper) نیز با تصویر با محتوای مشابه جایگزین میشود.
باجافزار ALC
ALC باجافزار جدیدی است که به نظر میرسد چندین کشور، از جمله ایران در فهرست اصلی اهداف آن قرار دارند.
اجرای باجافزار ALC
هنگامی که باجافزار ALC اجرا میشود، چندین فایل همانند تصویر زیر را بر روی دسکتاپ دستگاه قربانی ایجاد میکند. هر چند که برخی از نسخ آن، فایل AlcDif.exe نشان داده شده در تصویر زیر را ایجاد نمیکنند.
فایل RUS!.txt، نام فایل اطلاعیه باجگیری باجافزار ALC است که به دلیل اشتباهات املایی و دستوری محتوا میتوان انتظار داشت توسط فرد یا افرادی غیرانگلیسیزبان نوشته شده باشد.
در این اطلاعیه از قربانی خواسته شده که با مهاجم در تلگرام تماس بگیرد؛ با این حال، اطلاعات تماس یا میزان باج مطالبه شده در اطلاعیه باجگیری ارائه نشده است.
برخی از نمونههای باجافزار ALC یک فایل اجرایی به نام AlcDif.exe ایجاد میکنند که جهت ایجاد یک اطلاعیه باجگیری پیچیدهتر مورد استفاده قرار میگیرد. هنگامی که باجافزار فایل AlcDif.exe را اجرا میکند، تصویری تمامصفحه کل دسکتاپ را میپوشاند. محتوای آن نیز سعی در ترساندن قربانیان دارد. اگر قربانی از چندین نمایشگر استفاده کند، تصویر فقط در نمایشگر اصلی نمایش داده میشود. این فایل همچنین منجر به قطع و وصل شدن Task Manager میشود؛ وقتی فایل برای اولین بار اجرا میشود، Task Manager غیرفعال میشود. اما اجرای مجدد آن Task Manager را دوباره فعال میکند.
نمونهای از تصویر نمایش داده شده توسط AlcDif.exe در زیر قابل مشاهده است:
بر خلاف فایل اطلاعیه باجگیری در تصویر مذکور، یک نشانی ایمیل، اطلاعات کیف پول رمزارز مهاجم (Crypto Wallet)، میزان باج مطالبهشده و شناسه منحصربهفرد اختصاص داده شده به قربانی ارائه شده است. با این حال، کیف پول رمزنگاری ارائه شده وجود ندارد و کد QR آن کار نمیکند.
جزئیات بیشتر این دو باجافزار به همراه نشانههای آلودگی (IoC) آنها در نشانی زیر قابل مطالعه میباشد:
https://www.fortinet.com/blog/threat-research/ransomware-roundup-sirattacker-acl