ظهور باج‌افزار نسخه‌ی انشعاب یافته‌ی BitPaymer

اعضای گروه جرائم سایبری مربوط به تروجان Dridex از این گروه جدا شده‌ و یک نسخه‌ی انشعاب‌یافته‌ی باج‌افزار BitPaymer را عرضه کرده‌اند. این عامل تهدید به‌تازگی خانواده‌های بدافزاری جدیدی را منتشر کرده است که شامل درب‌پشتی tRat و برنامه‌ی بارگیر AndroMut است.

پس از انتشار باج‌افزار نسخه‌ی Bart در سال ۲۰۱۶ میلادی و Jaff در ماه مِه سال ۲۰۱۷ میلادی، مجرمان سایبری BitPaymer را در اواسط سال ۲۰۱۷ میلادی عرضه کردند. این باج‌افزار به‌جای کاربران نهایی روی هدف‌های مشهور و شرکت‌ها تمرکز کرده است و از طریق حملات کورکورانه‌ی Remote Desktop Protocol (RDP) توزیع می‌شود. درحال‌حاضر نوع جدیدی از این باج‌افزار ظهور پیدا شده که نشان می‌دهد برخی از اعضای TA505 این گروه را ترک کرده و کد منبع Dridex و BitPaymer را برای آغاز عملیات خود انشعاب داده‌اند. این نسخه از باج‌افزار جدید کاملاً شبیه به نسخه‌ی اصلی است.

بدافزار BitPaymer که ابتدا در ماه آگوست سال ۲۰۱۷ میلادی شناسایی شد، یک یادداشت باج به‌همراه یک آدرس اینترنتی برای یک پرتال پرداخت مبتنی‌بر TOR توزیع می‌کند. هم مقدار باج و هم آدرس اینترنتی پرتال پرداخت در طول زمان از یادداشت حذف شده است. از ماه جولای سال ۲۰۱۸ میلادی، این یادداشت تنها شامل دو رایانامه برای مذاکره درباره‌ی باج بوده است.

در ماه نوامبر سال ۲۰۱۸ میلادی، این یادداشت باج برای این‌که شامل نام قربانی باشد، به‌روزرسانی شد. این پسوند فایل که به فایل‌های رمزنگاری‌شده اضافه شده است برای استفاده از یک نمایش‌گر نام قربانی سفارشی‌سازی شده بود. این بدافزار ۲۵۶ bit AES را برای رمزنگاری پذیرفته است. این عامل تهدید از نسخه‌ی به‌روزرسانی‌شده‌ی BitPaymer در حداقل ۱۵ حمله‌ی باج‌افزاری تأییدشده استفاده کرده است که در طول سال ۲۰۱۹ میلادی ادامه یافته و در حوادثی که در ماه ژوئن و جولای سال ۲۰۱۹ اتفاق می‌افتد، شرکت دارد.

بدافزار DoppelPaymer ابتدا در یک حمله‌ی هدفمند در ماه ژوئن سال ۲۰۱۹ میلادی استفاده شد، اما پژوهش‌گران امنیتی قادر بودند تا نسخه‌های اخیر مربوط به ماه آوریل سال ۲۰۱۹ میلادی را بازیابی کنند که احتمالاً برای آزمایش ساخته شده بودند. در مجموع ۸ نسخه‌ی بدافزاری متمایز شناسایی شده است و سه قربانی تأیید شده است. از قربانیان این باج‌افزار مبالغ باج متفاوتی با میزان ۲، ۴۰ و ۱۰۰ بیت‌کوین خواسته شده است. با نرخ‌های مبادلاتی فعلی، این عاملان تهدید از حدود ۲۵ هزار دلار تا بیش از ۱ میلیون و ۲۰۰ هزار دلار از قربانیان درخواست کرده‌اند.

این یادداشت باج در DoppelPaymer شبیه آن‌هایی است که در سال ۲۰۱۸ میلادی از BitPaymer استفاده شده است. هیچ مبلغ باجی در آن ذکر نشده است، اما یک آدرس اینترنتی مربوط به یک پرتال پرداخت مبتنی‌بر TOR برای کاربران ارائه می‌شود که تقریباً مشابه پرتال اصلی BitPaymer است. نویسندگان DoppelPaymer مجموعه‌ای از تغییرات را در کد منبع DoppelPaymer ایجاد کردند تا عملکرد این باج‌افزار را بهبود ببخشند. این بدافزار طراحی شده است تا تنها پس از ارائه‌ی یک آرگومان خط فرمان خاص اجرا شود.

این تهدید همچنین فرآیندها و خدماتی را که ممکن است با رمزنگاری فایل تداخل داشته باشند، پایان می‌دهد. به همین دلیل این باج‌افزار از ProcessHacker استفاده می‌کند که یک ابزار مدیریتی متن‌باز قانونی است. یکی دیگر از کشف‌های جالب CrowdStrike این بود که کد DoppelPaymer یک ارتباط با نوع جدیدی از Dridex را نشان می‌دهد که در حملات مربوط به چند ماه گذشته ظهور پیدا کرده است.

بدافزارهای BitPaymer و DoppelPaymer به‌صورت موازی به فعالیت خود ادامه می‌دهد و قربانیان جدید هر دو خانواده‌ی باج‌افزاری در ماه ژوئن و جولای سال ۲۰۱۹ میلادی شناسایی شده‌اند. این عملیات موازی با هم‌پوشانی کد زیادی بین BitPaymer و DoppelPaymer همراه شده است که نه تنها انشعاب کد BitPaymer بلکه یک عملیات کاملاً مجزا را نشان می‌دهد.

منبع

پست‌های مشابه

Leave a Comment