به گزارش کارگروه امنیت سایبربان؛ گروه باجگیری «Play» یکی از موفقترین سازمانهای باجگیری در جهان است که صدها قربانی در شبکه خود داشتهاند و میلیونها دلار خسارت به سازمانها از جمله برخی حملات معروف مانند حمله به تأمینکنندگان ارتش سوئیس و دیگر مقامات دولتی سوئیس در ژوئن گذشته وارد شده است.
تا پایان سال 2023، این گروه با توجه به تعداد قربانیان فهرست شده در سایت فاش شده، یکی از 5 گروه بزرگ باجخواهی محسوب میشد.
به گفته کارشناسان، این گروه از مدل باجافزار به عنوان سرویس (RaaS) استفاده نمیکند که یک روند محبوب در نظر گرفته میشود، در عوض ترجیح میدهد خود قربانیان را هدف قرار دهد تا بیشترین باج را مستقیماً به دست آورد. این کار همچنین نشان دهنده اعتماد اعضای گروه به تواناییهای حرفهای خود است.
با وجود همه اینها، کارشناسان معتقدند که حتی بازی Play را هم میتوان گاهی شکست داد، زیرا حتی بهترین و ارشدترین هکرها هم اشتباه میکنند. قبل از اینکه به مهاجمان پول پرداخت کنید، باید نقاط ضعف آنها را مشخص کنید و بدانید که برای دفاع از خود چه کاری میتوانید انجام دهید.
محققان آزمایشگاه سایبرآرک (Cyberark) یک اشکال در کد مخرب «Fly» پیدا کردهاند که باعث میشود هنگام تلاش برای رمزگذاری پوشههای شبکه قربانی از کار بیفتد.
آری نُویک (Ari Novick)، محقق آزمایشگاه سایبرآرک، این فرآیند را اینگونه توضیح داد :
«برای رمزگذاری پوشههای شبکه، قربانی شبکه را شمارش میکند تا تمام پوشههای شبکه را که در دسترس او هستند، پیدا کند. شمارش با یک پینگ به هر آدرسی در شبکه محلی شروع میشود و سپس به هر آدرسی که پاسخ میدهد، مخرب سعی میکند یک سوکت باز کند تا بفهمد که آیا دستگاهی که پاسخ داده برای ارتباط «smb» باز است یا خیر. از همه ماشینهایی که برای ارتباطات smb باز هستند، قربانی بررسی میکند که کدام پوشههای شبکه در آن ماشینها قابل دسترسی هستند و آنها را رمزگذاری میکند.»
به گفته نُویک، در تمام این مراحل، شخص مخرب با کمک یک ساختار داده منحصر به فرد که در حافظه ذخیره میشود، واکنشهای رایانههای مختلف در شبکه را ردیابی میکند، اما پس از پایان رمزگذاری، آن ساختار حذف میشود.
وی خاطرنشان کرد :
«به دلایل کارایی، آزمایشهای موجود در شمارش به طور همزمان (چند رشتهای) انجام میشوند، اما توسعهدهندگان «Nozka» به خوبی بین عملیاتهای مختلف (رشتهها) همگامسازی نشدهاند. عدم همگامسازی شرایطی را ایجاد میکند که قربانی گاهی اوقات ساختار داده را از حافظه حتی قبل از اینکه او با پینگ بررسی کند که کدام رایانه در شبکه وجود دارد، حذف میکند. سپس، هنگامی که تست پینگ به پایان رسید، مخرب سعی میکند نتایج آزمایش را در یک ساختار داده حذف شده ذخیره کند و از آنجایی که دیگر وجود ندارد، خطایی ایجاد میشود که باعث از کار افتادن مخرب میگردد.»
محققان علاوه بر یافتن باگ، تکنیکهای حمله توسعهیافته توسط این گروه را برای فرار از برنامههای آنتیویروس، که یکی از آنها رمزگذاری جزئی/متناوب است، تجزیه و تحلیل کردند. در اینجا نیز سازمانها این گزینه را دارند که حداقل بخشی از اطلاعات را بازیابی و از آسیبهای حمله باجگیری جلوگیری کنند.
به منظور کمک به سازمانها در بازیابی اطلاعات، محققان آزمایشگاه سایبرآرک یک ابزار بازیابی رایگان به نام «White Phoenix» توسعه دادهاند؛ این ابزار به صورت متن باز نوشته شده و هدف آن بازیابی اطلاعات از فایلهای نیمه رمزگذاری شده است.
این ابزار که تاکنون فقط از طریق «GitHub» به عنوان یک پروژه پایتون در دسترس بود، اکنون در نسخه آنلاین نرمافزار به عنوان سرویس (SaaS) برای قربانیان باجافزاری که به فناوری یا کد بلد نیستند در دسترس است.
استفاده از سایت آنلاین White Phoenix ساده است و فقط نیاز به آپلود فایلهای نیمه رمزگذاری شده، کلیک کردن روی دکمه بازیابی دارد و سپس ابزار همه چیز را از فایلهایی که تا حدی توسط هکرها رمزگذاری شدهاند بازیابی میکند.
در حال حاضر، این ابزار از فایلهای پیدیاف، فایلهای سند وُرد و اِکسل، فایلهای زیپ و پاورپوینت پشتیبانی میکند.
