روابط عمومی شرکت ایدکو (توزیعکنندهی محصولات کسپرسکی در ایران)؛ باجافزار Zeppelin در آخرین کمپینهای خود در برابر صنایع مختلف عمودی[1] -مشخصاً مراقبتهای بهداشتی- و نیز زیرساختهای حیاتی سازمانها با ترفندهای جدید دستکاری و رمزگذاری بازگشته است. به نقل از CISA[2]عاملین تهدید که از این باجافزار بعنوان RaaS استفاده میکنند این بار دست به اکسپلویت کردنِ RDD[3] و نیز بهرهجویی از آسیبپذیریهای فایروال SonicWall زدهاند –در کنار کمپینهای فیشینگی که قبلاً استفاده میشد- تا بتوانند شبکههای هدف را نقض کنند. همچنین به نظر میرسد که Zeppelin از تاکتیکهای چندگانه و جدید رمزگذاری برخوردار است که بدافزار را بیش از یک بار در شبکه قربانی اجرا و آیدیها و افزونههای فایل مختلف را برای موارد متفاوت حمله ایجاد میکند. این باعث میشود قربانی به چندین کلید رمزگشایی منحصر به فرد نیاز پیدا کند. CISA چندین سویه از Zeppelin را از طریق بررسیهای مختلف افبیآی شناسایی کرده است (برخی حملات بسیار جدیدند و آخرینِ آن 21 ژوئن اتفاق افتاده است). در ادامه با ما همراه شوید تا این بدافزار را از حیث قابلیتهای جدیدش مورد بررسی قرار دهیم.
تارگتها و تاکتیکها
Zeppelin گونهای از خانواده باجافزار مبتنی بر Delphi (که یک RaaS است) میباشد که ابتدا با نامهای Vega یا VegaLocker شناخته میشد. این گروه باجافزاری اوایل سال 2019 سر و کلهاش پیدا شد و به نقل از BlackBerry Cylance در تبلیغات Yandex.Direct استفاده شد. کمپینهای Zeppelin بر خلاف سویه قبلیاش به مراتب هدفدارتر است و در حقیقت عاملین تهدید این بار شرکتهای مراقبت بهداشتی و فناوری در اروپا و آمریکا را هدف گرفتهاند. آخرین کمپینهای این سویه بیش از هر مورد دیگری کمر به حمله به سازمانهای دارویی سلامتی بستهاند. همانطور که بالاتر اشاره کردیم اما شرکتهای فناوری نیز هنوز جزو لیست قربانیان Zeppelin هستند. عاملین تهدید همچنین دارند از RaaS در حملاتی علیه کنتراکتورهای دفاعی، مؤسسات آموزشی و تولیدکنندگان استفاده میکنند. آنها به محض نفوذ موفقیتآمیز به شبکه یک یا دو هفته را صرف نقشهبرداری یا محاسبه نحوه شناسایی محفظههای داده از جمله ذخیرهگاه کلود و بکآپ شبکه میکنند. مهاجمین میتوانند باجافزار Zeppelin را به عنوان یک .dll یا فایل .exe به کار گیرند یا در آن لودر پاورشل بگذارند. همچنین ظاهراً Zeppelin از تاکتیک رایج بین باجافزارها یعنی اخاذیِ حداکثری در جدیدترین کمپینهای خود استفاده میکند. طی این اقدام، پیش از رمزگذاری برای نشر احتمالی در فضای آنلاین (در صورتیکه قربانی از باج دادن خوددای کند) فایلهای حاوی دادههای حساس از تارگت استخراج میشود.
رمزگذاری چندگانه
وقتی Zeppelin روی شبکه اجرا میشود هر فایل رمزگذاریشده با یک عدد هگزا اعشاری نه رقمی (انتخابشده به طور رندوم) بعنوان یک افزونه فایل اضافه میشود؛ برای مثال چیزی مانند file.txt.txt.C59-E0C-929. عاملین تهدید همچنین فایل یادداشتی نیز میگذارند شامل یادداشت باج روی سیستمهای دستکاریشده که معمولاً روی سیستم دسکتاپ کاربر قرار میگیرد. عاملین Zeppelin معمولاً باج را به بیتکوین میخواهند (چیزی در محدوده قیمتی چند هزار دلار تا بیش از یک میلیون دلار). جدیدترین کمپینها همچنین نشان میدهند عاملین تهدید از تاکتیک جدیدی مربوط به Zeppelin استفاده میکنند تا این بدافزار را چندین بار ر شبکه قربانی اجرا کنند و این یعنی قربانی به منظور آنلاک کردن فایلها نه به یک کلید رمزگشایی که به چندین کلیدرمزگشایی نیاز دارد. با این وجود، چنین چیزی میتواند جنبهی منحصر به فرد یک حمله باجافزاری باشد و شاید هم نباشد! روجر گرایمز مبشر دفاعی در بخش داده از شرکت امنیتی KnowBe4 اظهار دارد بین عاملین تهدید رایج است که چندین فایل مختلف را جداگانه رمزگذاری کرده و برای آنلاک کردن سیستمها از یک کلیدِ مادر استفاده میکنند. به گفتهی او، «بیشتر برنامههای باجافزاریِ امروز از یک کلید مادر برخوردارند که کلی کلید دیگر را رمزگذاری میکند». وقتی قربانی برای اثبات اینکه مهاجم باجافزار دارای کلید رمزگشایی است (که از آن طریق در صورت پرداخت باج بشود با موفقیت فایلها را آنلایک کرد) پرس و جو میکند آنوقت این گروه باجافزاری از یک کلید واحد برای آنلایک مجموعهای واحد از فایلها استفاده میکند تا حرف خود را ثابت کند.
[1]Vertical market or industry، به طورکلی بازارعمودی بازاری است که بخش مشخصی ازیک صنعت یابیشه ی کاری یاطیف مشخصی ازمشتریان راهدف گرفته است. برای مثال ارائه سرویس یامحصولی درحوزه ی صنایع نفت یاگازمیتواندیکی ازمصادیق ورودعمودی به بازارباشد.مثلاموتورنودل یک موتورجستجوی عمودی است چراکه صرفابه شماکمک می کندجستجوهایی بهینه درحوزه ی صنایع وخدمات آموزشی انجام دهید.
[2]آژانس امنیتی زیرساخت و امنیت سایبری
[3]پروتکل ریموت دسکتاپ
منبع: کسپرسکی آنلاین (ایدکو)
کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز میشناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.