انتشار شده در تاریخ 1401/07/06 - 10:54

تخریب داده‌ها رویکرد جدید باج افزارها

کارشناسان امنیت سایبری رویکرد جدیدی در باج افزارها کشف کرده‌اند که مهاجم به‌جای رمزگذاری داده‌ها، آن‌ها را تخریب می‌کند.

به گزارش کارگروه امنیت سایبربان؛ به نظر می‌رسد که عوامل استفاده‌کننده از باج افزارها در تلاش برای فرار از شناسایی، افزایش شانس دریافت پول و به حداقل رساندن فرصت‌ها برای توسعه ابزار رمزگشا، با قابلیت‌ جدیدی به نام تخریب داده‌ها دست‌وپنجه نرم می‌کنند.

گزارش جدیدی از شرکت‌های سایدرس (Cyderes) و استِر وِل (Stairwell) که ازجمله شرکت‌های امنیتی ایالات‌متحده هستند، تجزیه‌وتحلیل یک بدافزار شبیه به اکسمتر (Exmatter) را نشان می‌دهد. اکسمتر یک ابزار استخراج مبتنی بر دات نت است که اغلب توسط شرکت‌های وابسته به باج افزار BlackCat/ALPHV استفاده می‌شود.

بااین‌حال، در این نسخه از ابزار، مهاجم سعی می‌کند فایل‌های موجود در سیستم قربانی را پس از استخراج خراب کند؛ علی‌رغم روال معمول که آن‌ها را رمزگذاری می‌کند.

ابتدا، بدافزار روی درایوهای دستگاه قربانی تکرار می‌شود و صفی از فایل‌ها را ایجاد می‌کند که با فهرست کدگذاری‌شده‌ای از پسوندهای تعیین‌شده مطابقت دارد. سایدرس توضیح داد که فایل‌های مطابق با پسوند خود، به‌نوبت حذف و اضافه می‌شوند و سپس در پوشه‌ای با همان نام میزبان خود که همان دستگاه قربانی است، در سرور کنترل‌شده توسط عاملین، نوشته می‌شوند.

در مرحله بعدی، فایل‌هایی که با موفقیت در سرور با دسترسی از راه دور کپی شده‌اند، در صف پردازش قرار می‌گیرند تا توسط ابزاری به نام ایریزر یا پاک‌کن (Eraser) پردازش شوند. یک بخش با حجم تصادفی که از ابتدای فایل دوم شروع می‌شود، تحت عنوان یک بافر خوانده شده و سپس در ابتدای فایل اول نوشته می‌شود، آن را بازنویسی می‌کند و فایل را خراب می‌کند.

استفاده از چنین تاکتیک‌هایی برای گروه‌های استفاده‌کننده، چند مزیت دارد:

اول، استفاده از داده‌های فایل قانونی برای خراب کردن فایل‌های دیگر ممکن است برای ابزارهای امنیتی معقول‌تر به نظر برسد و بنابراین به عدم‌ شناسایی باج افزار و پاک‌کن‌ها کمک می‌کند.

دوم، اگر گروه مهاجم بتواند تمام اطلاعات قربانی را استخراج کند و سپس فایل‌های موجود را خراب کند، قدرت چانه‌زنی بیشتری به هنگام اخاذی خواهد داشت. این بدان معناست که شرکت‌های استفاده‌کننده از باج افزار، تنها نسخه باقی‌مانده را دارند و نیازی به پرداخت هیچ مبلغی به توسعه‌دهندگان باج افزار ندارند؛ زیرا از رمزگذاری استفاده نشده است.

سوم، آن‌ها نیازی به نگرانی در مورد آسیب‌پذیری‌های کد خود باج افزار ندارند که در غیر این صورت ممکن است به مدافعان اجازه دهد تا ابزارهای رمزگشایی بسازند.

شرکت استِر وِل مدعی است که با چنین کپی قوی از داده‌های جمع‌آوری‌شده از کسب‌وکار قربانی، رمزگذاری فایل‌های مشابه روی دیسک در مقایسه با تخریب داده‌ها به یک کار سنگین در زمینه توسعه آن و یک کار اضافی تبدیل می‌شود.