روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ باج‌افزار Zeppelin در آخرین کمپین‌های خود در برابر صنایع مختلف عمودی[1] -مشخصاً مراقبت‌های بهداشتی- و نیز زیرساخت‌های حیاتی سازمان‌ها با ترفندهای جدید دستکاری و رمزگذاری بازگشته است. به نقل از CISA[2]عاملین تهدید که از این باج‌افزار بعنوان RaaS استفاده می‌کنند این بار دست به اکسپلویت کردنِ RDD[3] و نیز بهره‌جویی از آسیب‌پذیری‌های فایروال SonicWall زده‌اند –در کنار کمپین‌های فیشینگی که قبلاً استفاده می‌شد- تا بتوانند شبکه‌های هدف را نقض کنند. همچنین به نظر می‌رسد که Zeppelin از تاکتیک‌های چندگانه‌ و جدید رمزگذاری برخوردار است که بدافزار را بیش از یک بار در شبکه قربانی اجرا و آی‌دی‌ها و افزونه‌های فایل مختلف را برای موارد متفاوت حمله ایجاد می‌کند. این باعث می‌شود قربانی به چندین کلید رمزگشایی منحصر به فرد نیاز پیدا کند. CISA چندین سویه از Zeppelin را از طریق بررسی‌های مختلف اف‌بی‌آی شناسایی کرده است (برخی حملات بسیار جدیدند و آخرینِ آن 21 ژوئن اتفاق افتاده است). در ادامه با ما همراه شوید تا این بدافزار را از حیث قابلیت‌های جدیدش مورد بررسی قرار دهیم.

تارگت‌ها و تاکتیک‌ها

Zeppelin گونه‌ای از خانواده باج‌افزار مبتنی بر Delphi (که یک RaaS است) می‌باشد که ابتدا با نام‌های  Vega یا VegaLocker شناخته می‌شد. این گروه باج‌افزاری اوایل سال 2019 سر و کله‌اش پیدا شد و به نقل از BlackBerry Cylance در تبلیغات  Yandex.Direct استفاده شد. کمپین‌های Zeppelin بر خلاف سویه قبلی‌اش به مراتب‌ هدف‌دارتر است و در حقیقت عاملین تهدید این بار شرکت‌های مراقبت بهداشتی و فناوری در اروپا و آمریکا را هدف گرفته‌اند. آخرین کمپین‌های این سویه بیش از هر مورد دیگری کمر به حمله به سازمان‌های دارویی سلامتی بسته‌اند. همانطور که بالاتر اشاره کردیم اما شرکت‌های فناوری نیز هنوز جزو لیست قربانیان Zeppelin هستند. عاملین تهدید همچنین دارند از RaaS در حملاتی علیه کنتراکتورهای دفاعی، مؤسسات آموزشی و تولیدکنندگان استفاده می‌کنند. آن‌ها به محض نفوذ موفقیت‌آمیز به شبکه یک یا دو هفته را صرف نقشه‌برداری یا محاسبه نحوه شناسایی محفظه‌های داده از جمله ذخیره‌گاه کلود و بک‌آپ شبکه می‌کنند. مهاجمین می‌توانند باج‌افزار Zeppelin را به عنوان یک  .dll یا فایل .exe به کار گیرند یا در آن لودر پاورشل بگذارند. همچنین ظاهراً Zeppelin از تاکتیک رایج بین باج‌افزارها یعنی اخاذیِ حداکثری در جدیدترین کمپین‌های خود استفاده می‌کند. طی این اقدام، پیش از رمزگذاری برای نشر احتمالی در فضای آنلاین (در صورتیکه قربانی از باج دادن خوددای کند) فایل‌های حاوی داده‌های حساس از تارگت استخراج می‌شود.

رمزگذاری چندگانه

وقتی Zeppelin روی شبکه اجرا می‌شود هر فایل رمزگذاری‌شده با یک عدد هگزا اعشاری نه رقمی (انتخاب‌شده به طور رندوم) بعنوان یک افزونه فایل اضافه می‌شود؛ برای مثال چیزی مانند  file.txt.txt.C59-E0C-929. عاملین تهدید همچنین فایل یادداشتی نیز می‌گذارند شامل یادداشت باج روی سیستم‌های دستکاری‌شده که معمولاً روی سیستم دسکتاپ کاربر قرار می‌گیرد. عاملین  Zeppelin معمولاً باج را به بیت‌کوین می‌خواهند (چیزی در محدوده قیمتی چند هزار دلار تا بیش از یک میلیون دلار). جدیدترین کمپین‌ها همچنین نشان می‌دهند عاملین تهدید از تاکتیک جدیدی مربوط به Zeppelin استفاده می‌کنند تا این بدافزار را چندین بار ر شبکه قربانی اجرا کنند و این یعنی قربانی به منظور آنلاک کردن فایل‌ها نه به یک کلید رمزگشایی که به چندین کلیدرمزگشایی نیاز دارد. با این وجود، چنین چیزی می‌تواند جنبه‌ی منحصر به فرد یک حمله باج‌افزاری باشد و شاید هم نباشد! روجر گرایمز مبشر دفاعی در بخش داده از شرکت امنیتی KnowBe4 اظهار دارد بین عاملین تهدید رایج است که چندین فایل مختلف را جداگانه رمزگذاری کرده و برای آنلاک کردن سیستم‌ها از یک کلیدِ مادر استفاده می‌کنند. به گفته‌ی او، «بیشتر برنامه‌های باج‌افزاریِ امروز از یک کلید مادر برخوردارند که کلی کلید دیگر را رمزگذاری می‌کند». وقتی قربانی برای اثبات اینکه مهاجم باج‌افزار دارای کلید رمزگشایی است (که از آن طریق در صورت پرداخت باج بشود با موفقیت فایل‌ها را آنلایک کرد) پرس و جو می‌کند آنوقت این گروه باج‌افزاری از یک کلید واحد برای آنلایک مجموعه‌ای واحد از فایل‌ها استفاده می‌کند تا حرف خود را ثابت کند.

[1]Vertical market or industry، به طورکلی بازارعمودی بازاری است که بخش مشخصی ازیک صنعت یابیشه ی کاری یاطیف مشخصی ازمشتریان راهدف گرفته است. برای مثال ارائه سرویس یامحصولی درحوزه ی صنایع نفت یاگازمیتواندیکی ازمصادیق ورودعمودی به بازارباشد.مثلاموتورنودل یک موتورجستجوی عمودی است چراکه صرفابه شماکمک می کندجستجوهایی بهینه درحوزه ی صنایع وخدمات آموزشی انجام دهید.

[2]آژانس امنیتی زیرساخت و امنیت سایبری

[3]پروتکل ریموت دسکتاپ

منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.