توسعه‌ی باج‌افزار WastedLocker توسط اپراتورهای Dridex

پژوهش‌گران Fox-IT اعلام کردند که عامل تهدید پشت صحنه‌ی تروجان Didex پس از چند ماه توسعه، باج‌افزار جدیدی را منتشر کرده است. این عامل تهدید عمدتاً به‌خاطر حملات مربوط به تروجان بانکی Didex و باج‌افزار Locky شناخته شده است، اما از بدافزار دیگری ازجمله باج‌افزارهای Bart، Jaff و BitPaymer نیز استفاده کرده است.

این باج‌افزار جدید که WastedLocker نامیده می‌شود، از ماه مِه سال ۲۰۲۰ میلادی مورد استفاده قرار گرفته است و شباهت‌هایی با BitPaymer دارد که از جمله‌ی این شباهت‌ها استفاده از مخفف نام قربانی هنگام ایجاد نام فایل‌ها یا وجود نام قربانی در یادداشت باج است.

به نظر می‌رسد که این گروه قبل از استقرار باج‌افزار قربانیان را انتخاب می‌کند و ترجیح می‌دهد به سرورهای فایل، سرویس پایگاه داده، ماشین‌های مجازی و محیط‌های ابری آسیب بزند. از آن‌جا که آن‌ها می‌خواهند از جلب توجه جلوگیری کنند، درگیر سرقت اطلاعات نیستند.

نفوذگران برای توزیع باج‌افزار از چارچوب به‌روزرسانی جعلی SocGholish استفاده می‌کنند که به‌طور مستقیم یک Cobalt Strike Loader را به سیستم‌های هدف منتقل می‌کند.

WastedLocker ابتدا در میزبان آلوده عملیاتی را برای اطمینان از صحت اجرا انجام می‌دهد و سپس اقدام به رمزنگاری فایل‌ها می‌کند. این باج‌افزار در صورت عدم اجرا با امتیازات مدیریتی تلاش می‌کند تا امتیازات را افزایش دهد.

WastedLocker از یک روش دور زدن کنترل حساب کاربری (UAC) استفاده می‌کند که شامل استفاده از یک جریان داده‌ی جایگزین (ADS) برای بارگذاری خود در فرآیندهای به‌ظاهر قانونی است.

این باج‌افزار می‌تواند shadow copyها را به‌منظور جلوگیری از بازیابی داده‌ها حذف کند و فایل‌های موجود در مسیرهای خاص یا فایل‌های موجود در یک درایو را رمزنگاری کند. این بدافزار درایوهای قابل جابجایی، ثابت، اشتراکی و راه‌دور را برای رمزنگاری هدف قرار می‌دهد.

WastedLocker فهرستی از مسیرها و افزونه‌ها را شامل می‌شود که از فرآیند رمزنگاری خارج می‌شوند. فایل‌هایی با اندازه‌ی کمتر از ۱۰ بایت نیز نادیده گرفته می‌شود و در صورت بزرگ بودن فایل، باج‌افزار آن را در بلوک‌های ۶۴ مگابایتی رمزنگاری می‌کند.

برای رمزنگاری فایل‌ها از الگوریتم AES با یک کلید AES تازه تولیدشده و IV استفاده می‌شود. کلید AES و IV با یک کلید RSA عمومی رمزنگاری می‌شود و خروجی به base64 تبدیل می‌شود و سپس در یادداشت باج ذخیره می‌شود. یک فایل دیگر حاوی یادداشت باج نیز برای هر فایل رمزنگاری‌شده ایجاد می‌شود.

این باج‌افزار پس از اتمام فرآیند رمزنگاری، یک فایل گزارش را با اطلاعات مربوط به تعداد فایل‌های هدف، تعداد فایل‌های رمزنگاری‌شده و تعداد فایل‌هایی که به‌خاطر مشکلات مربوط به مجوزهای دسترسی رمزنگاری نشده‌اند، به‌روزرسانی می‌کند. رمزگشای WastedLocker به امتیازات مدیر نیاز دارد و تعداد فایل‌هایی را که با موفقیت رمزگشایی شده است، گزارش می‌دهد.

منبع

پست‌های مشابه

Leave a Comment