عدم نیاز باج‌افزار Bart به کارگزار C&C برای رمزنگاری پرونده‎ها

محققان هشدار می‌دهند که یک بازیگر دیگر را در صحنه‌ی حملات باج‌افزاری مشاهده کرده‌اند که به نظر می‌رسد توسط همان عواملی تهیه شده باشد که بدافزار Dridex و باج‌افزار Lucky را تولید کرده‌اند.
این باج‌افزار که به نام Bart شناخته می‌شود، یک تهدید جدید است که کدهایی شبیه به باج‌افزار Locky داشته و به همان مکانیسم توسعه و انتشار، گسترش می‌یابد. همین امر موجب شده‌ است تا محققان ارتباطی را میان این دو باج‌افزار ببینند. این باج‌افزار قابلیت‌هایی را شبیه این باج‌افزار شایع از خود نشان داده است، هرچند که خصوصیات خاصی نیز دارد که از جمله‌ی آن‌ها می‌توان به عدم وجود مرکز کنترل و فرماندهی قبل از شروع به رمزنگاری پرونده‎ها اشاره کرد.

به گفته‌ی محققان PishMe اگر چه Bart یک نوع باج‌افزار رمزنگاری معمول است، اما دارای ابزارهایی است که مانع از آن می‌شود قربانیان به پرونده‎های آن دسترسی داشته باشند. همچنین Bart، ویژگی‌هایی را از خود نشان می‌دهد که در صفحه‌ی پرداخت Locky به چشم می‌خورد، اما قابلیت اصلی آن، توانایی رمزنگاری پرونده‎های کاربران بدون نیاز به گزارش دادن اولیه به کارگزار کنترل و فرماندهی است.

به‌جای آن، این بدافزار ممکن است بر قابلیت شناسایی قربانیان متمرکز باشد تا به عوامل تهدید بگوید که چه نوع کلید رمزگشایی باید برای قربانی با ابزار رمزگشایی ارائه شود. باج‌افزار Bart برای رمزنگاری پرونده‎ها نیاز به فن‌های پیچیده‌ای ندارد، بلکه پرونده‎ها را در رمزهای عبور فردی محافظت‌شده در آرشیو‌های فشرده‌سازی زیپ قرار می‌دهد. محققان شرکت Proofpoint می‌گویند که پسوندی که این باج‌افزار برای رمزنگاری استفاده می‌کند.bart.zip است.

این باج‌افزار یادداشت و اخطاریه‌ی خود را در همه‌ی پوشه‌های رمزنگاری قرار می‌دهد و محققان گفته‌اند که «این اخطاریه‌ شامل یک شناسه‌ی منحصربه‌فرد است و هنگامی که قربانی بر روی یکی از پیوندها کلیک می‌کند، این شناسه، به‌عنوان یک پارامتر به یک وب‌گاه پرداخت مستقر در شبکه Tor ارسال می‌شود». علاوه بر این، آن‌ها کشف کرده‌اند که تنها تفاوت میان هشدار باج‌افزار Bart با Locky، درخواست بسیار قابل‌توجه‌تر آن است که ۳ بیت‌کوین را طلب می‌کند، درحالی‌که باج‌افزار Locky ۰.۵ بیت‌کوین از قربانیان می‌خواست.

باج‌افزار Bart به شکل یک ضمیمه جاوا اسکری‍پت در رایانامه‌های فیشینگ ارسال می‌شود که یک بارگیری کننده‌ی RockLoader را بارگیری و اجرا می‌کند (همین بارگیری کننده، قبلاً باج افزار Locky، Dridex و بدافزار سرقت اطلاعات Pony/Kegotip را بارگیری کرده است). محققان می‌گویند که این بارگیری‌کننده از XOR برای پنهان کردن محتوای مخرب اجرایی خود در حین بارگیری استفاده می‌کند. بدافزارهای Locky و Dridex از اوایل ماه ژوئن، اغلب غیرفعال بوده‌اند چرا که بات‎نت نکورس که مسئول پخش و انتشار این باج‌افزارها شناخته می‌شود، دچار خرابی و قطع شدن گردید.

عملیات آلوده سازی این بدافزارها از هفته گذشته از سر گرفته شد و در طی آن Locky قابلیت ضد تجزیه‌وتحلیل از خود نشان داد که موجب می‌شود تا بار داده مخرب بسیار سخت‌تر شناسایی شوند. به نظر می‌رسد، استفاده‌ی RockLoader از XOR برای پنهان کردن پرونده اجرایی آلوده‌کننده‌ای که بارگیری می‌کند، با بهبودهای Locky مرتبط است.

در حال حاضر، به نظر می‌رسد که Bart عمدتاً کاربران را در ایالات‌متحده آمریکا هدف قرار می‌دهد، اما محققان پروف‌پوینت می‌گویند که آن‌ها به‌زودی شاهد یک تهدید بین‌المللی خواهند بود که در پی بدافزارهای Locky و Dridex خواهد آمد. این باج‌افزار ترجمه‌هایی را به زبان‌های ایتالیایی، فرانسوی، آلمانی و اسپانیایی دارد؛ اما به بررسی زبان سامانه در دستگاه‌های آلوده نیز می‌پردازد تا کاربران روسی‌زبان، اوکراینی و بلاروس را آلوده نکند.

همچنین پروف‌پوینت نشان داده است که باج‌افزارهای Locky و Bart با یکدیگر در ارتباط هستند: آن‌ها از یک مکانیسم انتشار رایانامه‌ی مشابه، یک پیام مشابه به قربانی، یک سبک مشابه برای درگاه پرداخت استفاده می‌کنند و هر دو از کارگزار RockLoader یکسان برای میزبانی بار داده مخرب استفاده می‌کنند (Dridex ۲۲۰ نیز در همین‌جا میزبانی می‌شود).

علاوه بر این، محققان بر این واقعیت تأکید می‌کنند که چون این باج‌افزار نیازی به ارتباط با زیرساخت‌های کنترل و فرماندهی قبل از رمزنگاری پرونده‎ها ندارد، می‌تواند شبکه‌های تجاری را مورد هدف قرار دهد، چرا که قادر است تا رایانه‌ها را فراتر از دیواره‌های آتش تجاری که معمولاً ترافیک آن را مسدود می‌کنند، رمزنگاری کند. محققان می‌گویند: «بنابراین، سازمان‌ها باید مطمئن شوند که Bart در درگاه رایانامه‌ی آن‌ها با استفاده از قواعدی که پرونده‎های اجرایی فشرده را مسدود می‌کنند، مسدود شده باشد».

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.