باج افزار جدید بیانیه های سیاسی طلب میكند، نه پول

چهارشنبه ۲۰ اردیبهشت ۱۳۹۶ تعداد بازدید 1706

کارشناسان امنیتی در تیم تحقیقاتی واحد42 پالو التو رده ی جدیدی از باج افزار را کشف کرده اند که شرکت های خاورمیانه را هدف قرار میدهد. با اینکه این باج افزار نسبتا ابتدایی و سرشار از ایراد بنظر میرسد، اما دارای عناصر قابل توجهی نیز میباشد.

باج افزار جدید بیانیه های سیاسی طلب میكند، نه پول

کارشناسان امنیتی در تیم تحقیقاتی واحد42 پالو التو رده ی جدیدی از باج افزار را کشف کرده اند که شرکت های خاورمیانه را هدف قرار میدهد. با اینکه این باج افزار نسبتا ابتدایی و سرشار از ایراد بنظر میرسد، اما دارای عناصر قابل توجهی نیز میباشد.
بجای قفل کردن فایل ها تا زمانی که باج پرداخت شود، قربانی مجبور میشود که بیانیه ای سیاسی بر روی وب سایت خود قرار دهد. بخصوص قربانی بالاجبار زیردامنه ای عمومی ایجاد میکند که نام ان از یک رهبر سیاسی خاورمیانه حمایت کرده و علیه او خشونت برمی انگیزد. 

به گفته ی پالو التو این فاکتور باج افزار، و همچنین قربانیان شناخته شده ی ان، نشانگر این است که این یک حمله ی بسیار هدفمند است. تا کنون مشخص شده است که این باج افزار یک سازمان دولتی در خاور میانه را هدف قرار داده، اما جزییات بیشتری توسط پالو التو اعلام نشده است.

با اینکه باج افزارهایی که با مقاصد سیاسی طراحی میشوند پدیده ی جدیدی نیستند، اغلب، حمله های DDoS و انحراف شبکه سیاسی هستند. به عنوان مثال پالو التو اعلام کرده که این نخستین باری است که انها چنین حمله ای را با استفاده از این نوع باج افزار دیده اند. 

منابعی در یک شرکت امنیتی دیگر به مجله ی اینفوسکوریتی (Infosecurity) اعلام کرده اند که تا کنون چنین باج افزاری ندیده اند. به محض اینکه RanRan شروع به کار روی دستگاه الوده میکند، پیغام باجی را نمایش میدهد که فرمان ایجاد زیردامنه را میدهد. 

علاوه براین یک فایل .txt بر روی این زیر دامنه و یک پیغام که اعلام میکند که هک شده اند و یک ادرس ایمیل که مهاجم از ان برای ارتباط با قربانی استفاده میکند نمایش داده میشود. مهاجمین از یک رمزگشای متقارن (RC4) با یک کلید قابل استفاده مجدد استفاده میکند و زمانی که فایل های مورد نظر رمزگذاری شدند فایل های اصلی پاک نمیشوند.محققان میگویند این بخاطر چند دلیل است.

به عنوان مثال، رمزگذاری روی فایل های سیستمی و فایل های دیگری که توسط پروسه های اجرایی باز میشوند انجام میگیرد. ایراداتی مانند این به واحد 42 کمک کرد که اطلاعات درون باج افزار را رمزگشایی کنند. محققین همچنین دریافتند که RanRan شامل کد قابل دسترسی عموم است تا بتواند فایل ها را رمزگذاری کند. محققان بیان کردند که :"استفاده ی دوباره از کد منبع و اشتباهاتی که قبلا اشاره شد نشان میدهد که این یک خطر نسبتا ساده است.

" با این حال این باج افزار درمورد پنهان شدن روی سیستم الوده خوب عمل کرد و پنجره های با نام ‘task manager’ را جستجو و انها را بست و بدین طریق نابودی بار را سخت تر کرد. همچنین این باج افزار گاها برنامه هایی مثل as Microsoft Outlook, Exchange, SQL, SQL Writer and Microsoft Exchange Information Store را جستجو میکرد و انها را می بست. این باور وجود دارد که این کار با هدف جلوگیری از قطع پروسه کد گذاری که در اثر دسته های باز مرتبط با این برنامه ها اتفاق می افتند انجام شده است. در پایان واحد 42 می افزاید:" RanRan نشانگرتغییر جالبی در تاکتیک باج افزاری است. 

در عوض انگیزه های کاملا اقتصادی، این باج افزار روش هکتیویسم را در پیش میگیرد و تلاش میکند که یک سازمان دولتی در خاورمیانه را مجبور به صدور بیانیه های منفی در مورد رهبر خود کند.