پژوهشگران Fox-IT اعلام کردند که عامل تهدید پشت صحنهی تروجان Didex پس از چند ماه توسعه، باجافزار جدیدی را منتشر کرده است. این عامل تهدید عمدتاً بهخاطر حملات مربوط به تروجان بانکی Didex و باجافزار Locky شناخته شده است، اما از بدافزار دیگری ازجمله باجافزارهای Bart، Jaff و BitPaymer نیز استفاده کرده است.
این باجافزار جدید که WastedLocker نامیده میشود، از ماه مِه سال ۲۰۲۰ میلادی مورد استفاده قرار گرفته است و شباهتهایی با BitPaymer دارد که از جملهی این شباهتها استفاده از مخفف نام قربانی هنگام ایجاد نام فایلها یا وجود نام قربانی در یادداشت باج است.
به نظر میرسد که این گروه قبل از استقرار باجافزار قربانیان را انتخاب میکند و ترجیح میدهد به سرورهای فایل، سرویس پایگاه داده، ماشینهای مجازی و محیطهای ابری آسیب بزند. از آنجا که آنها میخواهند از جلب توجه جلوگیری کنند، درگیر سرقت اطلاعات نیستند.
نفوذگران برای توزیع باجافزار از چارچوب بهروزرسانی جعلی SocGholish استفاده میکنند که بهطور مستقیم یک Cobalt Strike Loader را به سیستمهای هدف منتقل میکند.
WastedLocker ابتدا در میزبان آلوده عملیاتی را برای اطمینان از صحت اجرا انجام میدهد و سپس اقدام به رمزنگاری فایلها میکند. این باجافزار در صورت عدم اجرا با امتیازات مدیریتی تلاش میکند تا امتیازات را افزایش دهد.
WastedLocker از یک روش دور زدن کنترل حساب کاربری (UAC) استفاده میکند که شامل استفاده از یک جریان دادهی جایگزین (ADS) برای بارگذاری خود در فرآیندهای بهظاهر قانونی است.
این باجافزار میتواند shadow copyها را بهمنظور جلوگیری از بازیابی دادهها حذف کند و فایلهای موجود در مسیرهای خاص یا فایلهای موجود در یک درایو را رمزنگاری کند. این بدافزار درایوهای قابل جابجایی، ثابت، اشتراکی و راهدور را برای رمزنگاری هدف قرار میدهد.
WastedLocker فهرستی از مسیرها و افزونهها را شامل میشود که از فرآیند رمزنگاری خارج میشوند. فایلهایی با اندازهی کمتر از ۱۰ بایت نیز نادیده گرفته میشود و در صورت بزرگ بودن فایل، باجافزار آن را در بلوکهای ۶۴ مگابایتی رمزنگاری میکند.
برای رمزنگاری فایلها از الگوریتم AES با یک کلید AES تازه تولیدشده و IV استفاده میشود. کلید AES و IV با یک کلید RSA عمومی رمزنگاری میشود و خروجی به base64 تبدیل میشود و سپس در یادداشت باج ذخیره میشود. یک فایل دیگر حاوی یادداشت باج نیز برای هر فایل رمزنگاریشده ایجاد میشود.
این باجافزار پس از اتمام فرآیند رمزنگاری، یک فایل گزارش را با اطلاعات مربوط به تعداد فایلهای هدف، تعداد فایلهای رمزنگاریشده و تعداد فایلهایی که بهخاطر مشکلات مربوط به مجوزهای دسترسی رمزنگاری نشدهاند، بهروزرسانی میکند. رمزگشای WastedLocker به امتیازات مدیر نیاز دارد و تعداد فایلهایی را که با موفقیت رمزگشایی شده است، گزارش میدهد.