یک باج‌افزار جدید دستگاه‌های ذخیره‌سازی متصل به شبکه (NAS) را هدف قرار می‌دهد

به گزارش گروهی از محققان، نوع جدیدی از باج‌افزارها دستگاه‌های ذخیره‌سازی متصل به شبکه (NAS) مبتنی‌بر لینوکس ساخته‌شده توسط شرکت تایوانی QNAP Systems را هدف قرار داده و تا زمان پرداخت باج، اطلاعات مهم کاربران را نزد خود نگه می‌دارد. دستگاه‌های ذخیره‌سازی متصل به شبکه که برای کسب‌وکارهای خانگی و کوچک ایده‌آل هستند، با ذخیره‌سازی اختصاصی فایل‌ها با اتصال به یک شبکه یا از طریق اینترنت به کاربران امکان می‌دهند تا داده‌ها و پشتیبان‌های خود را بر روی چندین کامپیوتر ذخیره کرده و به اشتراک بگذارند.

محققان دو شرکت امنیتی Intezer و Anomali به‌طور جداگانه کشف کرده‌اند که نوع جدیدی از باج‌افزارها، سرورهای دستگاه‌های ذخیره‌سازی متصل به شبکه‌ی شرکت QNAP را که محافظت ضعیفی داشته و یا آسیب‌پذیر هستند، از طریق انجام حملات جستجوی فراگیر با گواهی‌نامه‌های پوسته‌ی امن (SSH) ضعیف و یا بهره‌برداری از آسیب‌پذیری‌های شناخته‌شده، مورد هدف قرار می‌دهند. این باج‌افزار که توسط شرکت Intezer  با نام «QNAPCrypt» و توسط شرکت Anomali با نام «eCh0raix» معرفی شده است، با استفاده از زبان برنامه‌نویسی Go نوشته شده و فایل‌های دارای پسوند هدف را با استفاده از الگوریتم رمزنگاری AES و با افزودن پسوند encrypt. به هر کدام از آن‌ها قفل می‌کند. بااین‌حال، اگر یک دستگاه ذخیره‌سازی متصل به شبکه‌ی آسیب‌دیده در هر کدام از کشورهای بلاروس، اوکراین یا روسیه قرار داشته باشد، باج‌افزار فرایند رمزنگاری فایل‌ها را خاتمه داده و بدون هیچ‌گونه آسیبی به آن‌ها از سیستم خارج می‌شود.

پس از آلوده‌شدن سیستم هدف و رمزنگاری‌شدن فایل‌ها، باج‌افزار در ابتدا با استفاده از پروکسی SOCKS5 شبکه‌ی تور (Tor) به سرور دستور و کنترل راه دور خود که در پشت این شبکه‌ محافظت می‌شود، متصل می‌گردد تا به مهاجمان در مورد قربانیان جدید اطلاع دهد. به گفته‌ی محققان شرکت Anomali، تجزیه‌وتحلیل‌های صورت‌گرفته نشان می‌دهند که این پروکسی توسط نویسنده‌ی بدافزار و به‌منظور دسترسی آن به شبکه‌ی تور، بدون استفاده از قابلیت‌های این شبکه در باج‌افزار تنظیم شده است. باج‌افزار پیش از رمزنگاری فایل‌ها، یک آدرس کیف پول بیت‌کوین منحصربه‌فرد را درخواست می‌کند. سپس، قربانیان می‌بایست مقدار باج تعیین‌شده را به آدرس‌های بیت‌کوینی که پیش از این فهرست آن‌ها بر روی سرور دستور و کنترل مهاجم قرار گرفته است، انتقال دهند.

درصورتی‌که سرور دیگر به آدرس بیت‌کوین منحصربه‌فردی دسترسی نداشته باشد، باج‌افزار رمزنگاری فایل‌ها را ادامه نداده و منتظر می‌ماند تا آدرس جدیدی ایجاد و ارائه شود. محققان شرکت Intezer توانستند با استفاده از این مکانیزم و ایجاد یک اسکریپت، کیف‌های پول موجود را از طریق سرور دستور و کنترل مهاجم به صدها قربانی مجازی اختصاص داده و به این ترتیب، از رمزنگاری فایل‌های قربانیان واقعی جدید توسط باج‌افزار جلوگیری کنند.

به گفته‌ی این محققان، از آن‌جایی‌که نویسندگان این باج‌افزار، به هرکدام از قربانیان یک کیف پول بیت‌کوین منحصربه‌فرد را تحویل می‌دهند، می‌توان با تکثیر بسته‌های آلوده‌شده تمامی کیف‌های پول را بازیابی کرد، تا جایی‌که دیگر هیچ کیف پولی تحت کنترل آن‌ها نباشد. به این ترتیب، محققان این شرکت امنیتی توانستند درمجموع ۱۰۹۱ کیف پول منحصربه‌فرد را که میان قربانیان جدید ۱۵ کمپین مختلف توزیع شده بودند، جمع‌آوری کنند. ازسوی دیگر، درصورت دسترسی باج‌افزار به این آدرس بیت‌کوین منحصربه‌فرد، به‌منظور ایجاد یک کلید مخفی AES-256، یک رشته‌ی تصادفی ۳۲ کاراکتری ایجاد کرده و سپس آن را برای رمزنگاری تمام فایل‌های ذخیره‌شده در دستگاه ذخیره‌سازی متصل به شبکه‌ی هدف با استفاده از الگوریتم AES در مد بازخورد رمز (CFB) و درنهایت، حذف فایل‌های اصلی به‌کار می‌گیرد.

به گفته‌ی شرکت Anomali، از آن‌جایی که ماژول رمزنگاری این باج‌افزار از یک بسته‌ی ریاضی برای ایجاد کلید مخفی استفاده کرده و صفحه‌ی تصادفی ریاضی را نیز با تغذیه‌ی (seed) زمان فعلی راه‌اندازی می‌کند، احتمال نوشتن یک رمزگشا برای این نوع باج‌افزار توسط محققان وجود دارد؛ چراکه این تابع کاملا تصادفی نیست.

همان‌طورکه پیش از این نیز اشاره شد، این باج‌افزار دستگاه‌های ذخیره‌سازی متصل به شبکه‌ی تولیدشده توسط شرکت QNAP را که برای ذخیره‌سازی فایل‌ها و پشتیبان‌گیری استفاده می‌شوند، مورد هدف قرار می‌دهند. معمولا بر روی این دستگاه‌ها محصولات آنتی‌ویروس اجرا نمی‌شود و درحال‌حاضر، این نمونه‌ها تنها با دو یا سه محصول سرویس VirusTotal گوگل شناسایی شده‌اند. این موضوع نشان می‌دهد که باج‌افزار QNAPCrypt به‌راحتی می‌تواند بر روی این دستگاه‌ها اجرا شود. محققان همچنین اشاره کردند که این باج‌افزار پیش از رمزنگاری فایل‌های ذخیره‌شده بر روی دستگاه‌های هدف، تلاش می‌کند تا برخی از فرایندهای خاص از جمله apache2، httpd، nginx، MySQL، mysql و PostgreSQL را نیز متوقف نماید.

حال، محققان امنیتی به کاربران توصیه می‌کنند تا به‌صورت ناآگاهانه و یا غیرضروری دستگاه‌های ذخیره‌سازی متصل به شبکه‌ی خود را به اینترنت متصل نکرده و به‌روزرسانی‌های خودکار را نیز برای ثابت‌افزارهای خود فعال نمایند. علاوه‌براین، به کاربران همواره توصیه می‌شود از رمزهای عبور قوی برای امنیت دستگاه‌های خود استفاده کرده و به‌طور منظم از اطلاعات ذخیره‌شده بر روی این دستگاه‌ها پشتیبان‌گیری کنند، به‌طوری‌که درصورت بروز هرگونه فاجعه، بتوان اطلاعات مهم را بدون پرداخت هزینه به مهاجمان بازیابی کرد.

منبع

پست‌های مشابه

Leave a Comment

پنج + یازده =