ارتقای نگران‌کننده رمزنگاری RansomHouse؛ حرکت باج‌افزارها به‌سوی پیچیدگی چندلایه

گروه باج‌افزاری RansomHouse که به‌صورت Ransomware-as-a-Service فعالیت می‌کند، اخیراً رمزگذار (Encryptor) خود را به‌طور قابل‌توجهی ارتقا داده است؛ ارتقایی که نشان‌دهنده تغییر مسیر باج‌افزارها از روش‌های ساده به تکنیک‌های پیچیده و چندلایه است.

بر اساس گزارش جدید تیم تحقیقاتی Palo Alto Networks Unit 42، نسخه جدید رمزگذار RansomHouse که با نام  Mario شناخته می‌شود، به‌جای رمزنگاری تک‌مرحله‌ای، از یک فرآیند دومرحله‌ای با دو کلید مجزا استفاده می‌کند. این کلیدها شامل یک کلید اصلی ۳۲ بایتی و یک کلید ثانویه ۸ بایتی هستند که در مجموع باعث افزایش آنتروپی رمزنگاری و دشوارتر شدن بازیابی داده‌ها می‌شوند.

تغییرات فنی مهم در رمزگذار Mario

یکی از مهم‌ترین تغییرات این نسخه، استفاده از پردازش پویا و غیرخطی فایل‌ها است. در این روش، فایل‌های بزرگ‌تر از ۸ گیگابایت به‌صورت قطعه‌ای (Chunk-based) و با الگوی رمزنگاری متناوب پردازش می‌شوند. این رویکرد باعث می‌شود تحلیل ایستا (Static Analysis) و مهندسی معکوس به‌مراتب پیچیده‌تر از قبل شود.

علاوه بر این، ساختار حافظه و نحوه مدیریت بافرها در رمزگذار Mario بهبود یافته و برای هر مرحله از رمزنگاری، بافرهای اختصاصی جداگانه در نظر گرفته شده است. این موضوع نه‌تنها پیچیدگی کد را افزایش می‌دهد، بلکه شناسایی الگوی رمزنگاری را برای پژوهشگران امنیتی سخت‌تر می‌کند.

تمرکز بر محیط‌های مجازی

نسخه جدید همچنان تمرکز ویژه‌ای بر فایل‌های ماشین مجازی دارد و به‌طور خاص محیط‌های VMware ESXi را هدف قرار می‌دهد. فایل‌های رمزگذاری‌شده با پسوند emario ذخیره شده و یادداشت باج‌خواهی با نام How To Restore Your Files.txt در تمامی پوشه‌های آلوده قرار می‌گیرد.

نشانه‌ای از آینده باج‌افزارها

به گفته Unit 42، این ارتقا “زنگ خطری جدی در مسیر تکامل باج‌افزارها” محسوب می‌شود. هرچند RansomHouse از نظر حجم حملات در رده گروه‌های میان‌رده قرار دارد، اما تمرکز مداوم آن بر توسعه ابزارهای پیشرفته نشان می‌دهد که راهبرد این گروه بر افزایش کارایی، پیچیدگی فنی و دور زدن ابزارهای دفاعی استوار است، نه صرفاً گسترش دامنه حملات.

برای سازمان‌ها و تیم‌های امنیتی، این تحول یک پیام روشن دارد: باج‌افزارها از نظر فنی هر روز هوشمندتر و مقاوم‌تر در برابر تحلیل و مقابله می‌شوند.

مشروح گزارش Unit 42 از طریق لینک زیر قابل‌مطالعه است:

https://unit42.paloaltonetworks.com/ransomhouse-encryption-upgrade

اشتراک گذاری

Facebook
Twitter
WhatsApp
Telegram

نظرات

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *