Rook؛ باج‌افزاری با آرزوهای بزرگ!

اخیراً حملات باج‌افزاری جدیدی به نام Rook در فضای جرایم سایبری خبرساز شده است. گردانندگان این باج‌افزار اعلام کرده‌اند که به واسطه نیاز مبرم به “مقدار زیادی پول”، به شبکه سازمان‌ها نفوذ نموده و اقدام به رمزگذاری دستگاه‌ها نموده‌اند.

در این گزارش که با همکاری شرکت مهندسی شبکه گستر و مرکز مدیریت راهبردی افتای ریاست جمهوری تهیه گردیده این باج‌افزار جدید مورد بررسی قرار گرفته است.

اگرچه اظهارات اولیه گردانندگان این باج‌افزار در پورتال نشت داده‌های Rook مضحک بود، اما گزارش نخستین قربانی این باج‌افزار در سایت مذکور به وضوح نشان داد که گردانندگان Rook به دنبال سرگرمی و تفریح نیستند و هدف آن‌ها اخاذی است.

محققان به بررسی دقیق این گونه جدید باج‌افزار پرداخته‌اند و علاوه بر جزئیات فنی و زنجیره آلودگی، شباهت آن با باج‌افزار Babuk را نیز آشکار کرده‌اند.

در حملات باج‌افزاری Rook، آلودگی اولیه معمولاً از طریق ایمیل‌های موسوم به Phishing و یا حتی دانلود فایل‌های Torrent شروع شده و از Cobalt Strike برای انتقال و انتشار کد مخرب باج‌افزار استفاده شده است. به منظور جلوگیری از شناسایی، کدهای باج‌افزاری با UPX یا دیگر رمزگذارها بسته‌بندی شده‌اند. نتایج این تحقیق نشان می‌دهد که کدهای باج‌افزار Rook هنگام اجرا، پروسه‌های مربوط به ابزارهای امنیتی یا هر پروسه‌ای که می‌تواند رمزگذاری را مختل کند، خاتمه می‌دهند.

محققان در ادامه عنوان کرده‌اند که در برخی موارد راه‌انداز kph.sys از Process Hacker در خاتمه پروسه‌هایی که فرایند رمزگذاری را مسدود می‌کنند، نقش دارد. اما در موارد دیگر از ابزارهای دیگری استفاده می‌شود. این امر احتمالاً نشان دهنده نیاز مهاجم به استفاده از درایور برای غیرفعال کردن راهکارهای امنیتی محلی در رویدادهای خاص است.

Rook همچنین از vssadmin.exe برای حذف رونوشت‌های موسوم به Volume Shadow Copy استفاده می‌کند تا امکان بازگردانی فایل‌های حذف شده یا رمزگذاری شده از طریق آن‌ها ممکن نباشد.

این باج‌افزار پس از رمزگذاری فایل‌ها، پسوند “Rook.” را به آن‌ها اضافه نموده و سپس خود را از سیستم هک شده حذف می‌کند.

مهاجمان یک اطلاعیه ‌باج‌گیری (Ransom note) به نام HowToRestoreYourFiles.txt در کامپیوتر آلوده شده و سیستم‌های رمزگذاری شده قرار می‌دهند. در اطلاعیه مذکور نوشته شده که قربانی با دسترسی به وب‌سایت Rook Tor یا ایمیل زدن به مهاجمان، با آن‌ها تماس بگیرد. مهاجمان قربانیان را تهدید می‌کنند که در صورت عدم پرداخت باج مطالبه شده، داده‌های سرقت شده را به صورت عمومی منتشر می‌کنند. همچنین به قربانیان هشدار می‌دهند که در صورت مذاکره با فروشندگان محصولات امنیتی یا نهادهای قانونی، کلید خصوصی رمزگشایی فایل‌های رمزگذاری شده را از بین می‌برند.

بنا بر اظهارات محققان، شباهت‌های متعددی بین کد Rook و Babuk وجود دارد. Babuk Locker، که با نام Babyk نیز شناخته می‌شود، در قالب خدمات موسوم به “باج‌افزار به عنوان سرویس” (Ransomware-as-a-Service – به اختصار RaaS) توسعه داده شده بود. فعالیت باج‌افزار Babuk از ابتدای سال ۲۰۲۱ آغاز شد و گردانندگان آن سازمان‌های فعال در حوزه‌های مختلف را به منظور سرقت و رمزگذاری داده‌ها مورد هدف قرار می‌دادند.

در سپتامبر 2021 کد منبع (Source Code) باج‌افزار Babuk در یک تالار گفتگوی اینترنتی هکرهای روسی زبان فاش شد. یکی از اعضای گروه Babuk مدعی بود به دلیل ابتلاء به سرطانی علاج‌ناپذیر، تصمیم به انتشار کد این باج‌افزار مخرب گرفته است. از آن زمان تاکنون کدهای فاش شده این باج‌افزار توسط گروه‌های مختلفی برای راه‌اندازی حملات باج‌افزاری مورد استفاده گرفته است. با توجه به شباهت‌های کد میان دو باج‌افزار Babuk و Rook، محققان بر این باورند که Rook از کد منبع فاش شده باج‌افزار Babuk استفاده می‌کند. Rook از فراخوانی‌ها و توابع API مشابه که قبلاً در Babuk نیز بکارگرفته شده بود، جهت بازیابی نام و وضعیت هر یک از سرویس‌های در حال اجرا و خاتمه دادن به آن‌ها استفاده می‌کند.

همچنین فهرست پروسه‌ها، شمارش راه‌اندازهای محلی و سرویس‌های متوقف شده در Windows برای هر دو باج‌افزار Rook و Babuk یکسان بوده و شامل پروسه‌های مربوط به بستر بازی محبوب Steam و سرویس گیرنده ایمیل Mozilla Firefox ،Outlook ،Microsoft Office و Thunderbird است. شباهت‌های دیگر بین دو باج‌افزار مذکور شامل نحوه حذف رونوشت‌های موسوم به Volume Shadow Copy توسط رمزگذار، بکارگیری Windows Restart Manager API جهت متوقف ساختن پروسه‌ها در محصولات Microsoft Office و بستر بازی Steam می‌باشد.

با این که هنوز خیلی زود است تا در خصوص میزان پیچیدگی حملات صورت گرفته توسط باج‌افزار Rook اظهارنظر شود، آنچه مسلم است این است که عواقب آلودگی توسط باج‌افزار مذکور بسیار شدید بوده و منجر به رمزگذاری و سرقت داده‌ها می‌شود.

در حال حاضر در سایت نشت داده Rook به نام دو قربانی اشاره شده است. 9 آذر 1400، گروه باج‌افزار Rook، نام اولین قربانی را که یک موسسه مالی در قراقزستان می‌باشد، در سایت نشت داده خود منتشر کرد. مهاجمان بیش از 1 هزار گیگابایت از اطلاعات موسسه مذکور را سرقت و اقدام به رمزگذاری فایل‌های مذکور کردند. قربانی دوم یک متخصص هوانوردی و هوافضا هندی است که نام آن نیز به تازگی در سایت مذکور اضافه شده است. بنابراین این باج‌افزار در مراحل اولیه فعالیت خود می‌باشد.

چنانچه وابستگان ماهر این باج‌افزار جدید به RaaS بپیوندند، Rook می‌تواند در آینده به تهدید بزرگی برای سازمان‌ها تبدیل شود. این را به آسیب‌پذیری اخیر کشف شده در Log4j نیز اضافه کنید که می‌تواند دسترسی اولیه را بدون مهارت فنی بالا برای مهاجمان امکان‌پذیر سازد. به نظر می‌رسد تیم‌های امنیتی سازمان‌ها، سال میلادی شلوغ و پرچالشی پیش رو دارند. لذا ضرورت دارد راهبران امنیتی پیشگیری را سرلوحه کار خود قرار داده و در اسرع وقت نسبت به تهیه نسخه‌های پشتیبان از فایل‌ها، وصله آسیب‌پذیری‌های ترمیم شده، و به‌روزرسانی نرم‌افزارها و سخت‌افزارهای مورد استفاده اقدام نمایند.

جزییات بیشتر در خصوص باج‌افزار Rook در نشانی زیر قابل مطالعه است:

https://www.sentinelone.com/labs/new-rook-ransomware-feeds-off-the-code-of-babuk/

منابع:

https://www.fortiguard.com/threat-signal-report/4359

https://www.bleepingcomputer.com/news/security/rook-ransomware-is-yet-another-spawn-of-the-leaked-babuk-code/

https://cyware.com/news/a-rookie-ransomware-reflects-the-characteristics-of-babuk-16715c68