باج‌افزار جدید Zeppelin شرکت‌های فناوری و بهداشت و درمان را هدف قرار می‌دهد

به‌تازگی نسخه‌ی جدیدی از باج‌افزار Vega به نام Zappelin مشاهده شده است که شرکت‌های فناوری و بهداشت و درمان را در اروپا، امریکا و کانادا هدف قرار می‌دهد. بااین‌حال، کاربران ساکن در روسیه یا برخی کشورها ازجمله اوکراین، بلاروس و قزاقستان می‌توانند نفس راحتی بکشند، زیرا این باج‌افزار درصورتی‌که خود را در دستگاه‌های مستقر در این مناطق پیدا کند، عملیات خود را خاتمه می‌دهد. قابل توجه است که همه‌ی نسخه‌های قبلی خانواده‌ی باج‌افزاری Vega که با نام VegaLocker شناخته می‌شود، در درجه‌ی اول کاربران روسی زبان را هدف قرار می‌دهد که نشان می‌دهد Zeppelin کار گروه نفوذی است که در پشت صحنه‌ی حملات قبلی بودند.

از آن‌جا که باج‌افزار Vega و نسخه‌های قبلی آن به‌عنوان یک سرویس در انجمن‌های زیرزمینی ارائه شدند، پژوهش‌گران در BlackBerry Cylance معتقدند که Zeppelin به دست عاملان تهدید مختلف پایان یافت و یا با منابع خریداری‌شده یا به سرقت رفته، مجدداً توسعه یافت. طبق گزارش BlackBerry Cylance، Zeppelin یک باج‌افزار مبتنی‌بر دلفی با قابلیت پیکربندی بسیار زیاد است که می‌تواند به‌آسانی سفارشی‌سازی شود تا ویژگی‌های مختلف را بسته به قربانیان یا نیازمندی‌های مهاجمان فعال یا غیرفعال کند.

Zeppelin ممکن است در قالب یک فایل EXE، DLL و یا در یک بارگذار پاورشل مستقر شود و شامل ویژگی‌های زیر است:

  • IP Logger: برای ردیابی آدرس‌های IP و مکان قربانیان
  • Startup: برای رسیدن به پایداری و ماندگاری
  • Delete Backups: برای متوقف کردن سرویس‌ها، غیرفعال کردن بازیابی فایل‌ها، حذف پشتیبان‌ها و رونوشت‌ها
  • Task-killer: خاتمه دادن فرآیندهای مشخص شده توسط مهاجم
  • Auto-unlock: برای باز کردن قفل فایل‌هایی که به نظر می‌رسد طی رمزنگاری قفل شده‌اند
  • Melt: برای تزریق نخ self-deletion به notepad.exe
  • UAC prompt: تلاش برای اجرای باج‌افزار با امتیازات افزایش یافته

براساس پیکربندی‌هایی که مهاجمان از رابط کاربری سازنده‌ی Zeppelin در طول فرآیند تولید باینری باج‌افزار تنظیم می‌کنند، این بدافزار فایل‌های موجود در همه‌ی درایوها و اشتراک‌های شبکه را شمارش می‌کند و با همان الگوریتمی که توسط سایر نسخه‌های Vega مورد استفاده قرار گرفته است، رمزنگاری می‌کند. پژوهش‌گران بیان می‌کنند که Zeppelin از یک ترکیب استاندارد از رمزنگاری متقارن فایل با کلیدهای تولیدشده به‌طور تصادفی برای هر فایل استفاده می‌کند و از رمزنگاری نامتقارن برای محافظت کلید نشست استفاده می‌کند.

جالب توجه است که برخی از نمونه‌ها تنها بایت‌های ۰x1000 اول را به جای بایت‌های ۰x10000 رمزنگاری خواهند کرد. ممکن است این یک اشکال ناخواسته یا یک انتخاب آگاهانه برای سرعت بخشیدن به فرآیند رمزنگاری باشد. علاوه‌بر این‌که چه ویژگی‌هایی را می‌توان فعال کرد و چه فایل‌هایی را باید رمزنگاری کرد، سازنده‌ی Zeppelin به مهاجمان اجازه می‌دهد تا محتوای فایل متنی یادداشت باج را که در سیستم توزیع می‌شود و پس از رمزنگاری فایل‌های به قربانی نشان داده می‌شود، پیکربندی کنند.

پژوهش‌گران BlackBerry Cylance نسخه‌های متفاوتی را کشف کرده‌اند که هر کدام پیام‌ها و یادداشت‌های متفاوتی برای درخواست باج دارند. همه‌‌ی این پیام‌ها به قربانی دستور می‌دهد تا از طریق آدرس ایمیل ارائه‌شده با مهاجم تماس بگیرند و شناسه‌ی شخصی خود را برای آن‌ها ارسال کنند.

باج‌افزار Zeppelin برای جلوگیری از شناسایی به لایه‌های مختلف مبهم‌سازی ازجمله استفاده از کلیدهای شبه تصادفی، رشته‌ی رمزنگاری‌شده، ایجاد تأخیر در اجرا برای دور زدن جعبه‌ی شنی و فریب سازوکارهای اکتشافی متکی است. Zeppelin اولین بار حدود یک ماه پیش، زمانی‌که از طریق وب‌گاه‌ها و با بار داده‌ی پاورشل میزبانی‌شده در وب‌گاه Pastebin توزیع شده بود، کشف شد. پژوهش‌گران معتقدند که حداقل برخی از حملات Zeppelin از طریق MSSP انجام شده بود که با پویش هدفمندی که از باج‌افزار Sodinokibi استفاده می‌کرد، شباهت‌های زیادی داشت.

منبع

پست‌های مشابه

Leave a Comment