خالق باج افزار Chaos با طراحی یک نسخه غیرقابل قبول از باج افزار Ryuk که حاوی باگ های زیادی بود، شروع کرد. از آن زمان، اعضای این گروه عملیات خود را توسعه داده و تغییرات و اصلاحات لازم را انجام داده و مهاجمان مختلف را متقاعد به استفاده از این ابزار کرده اند. اخیراً آخرین نسخه ابزار Chaos با نام Yashma بسیار مورد استفاده قرار گرفته است و شامل چندین ارتقاء و ویژگی های جدید است. مدتی پیش گروهی به نام Onyx در یک عملیات سایبری موفق، سازمان ها، سازمان های پزشکی و خدمات اورژانس در صنایع مختلف در سراسر ایالات متحده را هدف قرار داد. به گفته محققان امنیت سایبری، در این حمله از نسخه باج افزار Chaos استفاده شده است.
محققان می گویند: «یک ویژگی بسیار مخاطره آمیز و منفی Chaos/Yashma تطبیق پذیری و در دسترس بودن گسترده آن است. با در نظر گرفتن فروش و توزیع Chaos به عنوان یک ابزار ایجاد بدافزار، مجرمان سایبری با استفاده از این ابزار باج افزار می توانند اقدامات و عملیات عوامل حمله Onyx را تقلید کرده و با طراحی باج افزار ویژه قربانیان مورد نظر خود را هدف قرار دهند.
شروع آهسته آشوب و بازاریابی تهاجمی
Chaos Ransomware Builder اولین بار با نام Ryuk .NET Ransomware Builder v1.0 ظاهر شد. نویسندگان بدافزار این ابزار را که یک نرم افزار متن بسته است، طراحی کرده اند تا مشتریانشان بتوانند از آن برای شخصی سازی بدافزار خود و ایجاد یک باینری مخرب با ویژگی های مورد نظر خود استفاده کنند. به این ترتیب، گروههای مجرم مختلف میتوانند از یک بدافزار با سرورهای مختلف فرمان و کنترل استفاده کنند یا بدافزار خود را برای هر قربانی سفارشی کنند.
البته اگرچه نام Ryuk .NET برای باج افزار Ryuk.NET انتخاب شده است، اما این ابزار هیچ ارتباطی با باج افزار Ryuk که در گذشته صدها سازمان را در سراسر جهان آلوده کرده است ندارد. Ryuk محصول گروهی به نام Wizard Spider در صنعت امنیت سایبری است. به احتمال زیاد خالق نسخه ثانویه باج افزار Ryuk یا Conti بات نت TrickBot است. به گفته محققان بلک بری: «تبلیغات اولیه سازنده باجافزار Ryuk.NET در انجمنهای زیرزمینی مورد استقبال قرار نگرفت. با توجه به اینکه باج افزار ایجاد شده توسط این ابزار امکانات زیادی نداشت و به عنوان پاک کننده فایل عمل می کرد، بسیاری از کاربران در این انجمن ها از تبلیغات جعلی ساخته شده با نام Ryuk انتقاد کردند.
این بدافزار بیش از 100 پسوند فایل مختلف را هدف قرار می دهد، اما برای پر کردن فایل ها با یک رشته تصادفی Base64 طراحی شده است. برخلاف رمزگذاری، این روش برگشت ناپذیر نیست. بنابراین فایل ها را برای همیشه از بین می برد. سازنده این باج افزار به بازخوردهای منفی پاسخ داد و نسخه دومی به نام Chaos را نوشت. نسخه سوم این باج افزار نیز قابلیت رمزگذاری فایل ها با الگوریتم های AES و RSA را داشت. البته این فقط برای فایل های زیر یک مگابایت امکان پذیر بود. سپس در Chaos Builder v4.0 حجم فایل های پشتیبانی شده به کمتر از 2 مگابایت افزایش یافت. این نسخه مدتی پیش به همراه تعدادی امکانات و بهبودهای دیگر از جمله امکان تغییر پس زمینه کامپیوتر قربانی برای نمایش پیام باج، امکان تنظیم پسوند فایل های پشتیبانی شده (برای رمزگذاری)، رابط کاربری گرافیکی باج افزار کاربر با حذف کپی های سایه ای از سیستم فایل ویندوز و دایرکتوری های پشتیبان و غیرفعال کردن حالت بازیابی ویندوز، از بازیابی فایل ها جلوگیری می کند.
ورود گروه جنایتکار اونیکس روی صحنه
نسخه چهارم باج افزار Chaos نیز بسیار مهم بود زیرا اخیرا گروهی به نام Onyx از آن استفاده کرده و یک استراتژی اخاذی مضاعف را اجرا کرده است. امروزه این روش در بین گروه های باج افزار بسیار رایج است. به گفته محققان بلک بری: «برخلاف اعلام باجافزار Chaos، که دستورالعملها یا راهنماییهای کاربر چندانی نداشت، گروه باجافزار Onyx وبسایتی به نام Onyx News برای درز اطلاعات ایجاد کرده بود. این وب سایت در شبکه مسافرتی ناشناس میزبانی شد. Onyx در این وب سایت اطلاعاتی در مورد نحوه بازیابی اطلاعات برای قربانیان خود منتشر می کند. در یادداشت باج Onyx آدرس وبسایت، نام کاربری و رمز عبور برای ورود به وبسایت گنجانده شده است تا قربانیان پس از ورود به حساب کاربری بتوانند با مهاجمان چت کنند.
با این حال، محققان امنیت سایبری و قربانیان باجافزار به زودی دریافتند که Onyx فایلهای بزرگتر از 2 مگابایت را از بین میبرد، زیرا 98 درصد کد آن با Chaos به اشتراک گذاشته میشود و این به دلیل محدودیتهای رمزنگاری در باجافزار Chaos است. محققان بلک بری همچنین به مکالمه ای بین گروه Onyx و یکی از قربانیان برخورد کردند. در این گفتگو، فردی که ادعا میکند سازنده باجافزار Chaos است، در تلاش برای تبلیغ آخرین نسخه باجافزار بوده و توضیح میدهد که محدودیت فایل ۲ مگابایتی از این ابزار حذف شده است. در این گفتگو، سازنده Chaos ادعا می کند که Onyx بر اساس نسخه قدیمی نرم افزار او ساخته شده است.
Onyx در عمر کوتاه خود چندین سازمان آمریکایی در زمینه های اقتصادی، تجاری، پزشکی و کشاورزی و همچنین خدمات اورژانس را هدف قرار داده و مورد حمله قرار داده است. اگرچه رابطه بین گروه Onyx و خالق Chaos مشخص نیست، موفقیت این گروه ممکن است توجه سایر مجرمان سایبری را به سازنده باج افزار Chaos جلب کند، به ویژه با توجه به اینکه محدودیت های رمزنگاری آن اکنون برداشته شده است. یکی از مشکلات اصلی حملات Onyx این است که منجر به از بین رفتن بسیاری از فایل ها شده است. این برخلاف سیاست بسیاری از مهاجمان باج افزار است. اگرچه استثنائات زیادی وجود دارد، اما گروه های باج افزار به طور کلی به وعده خود مبنی بر رمزگشایی فایل ها عمل کرده اند. این کار ممکن است برای حفظ اعتماد به این گروه ها انجام شده باشد تا قربانیان برای بازگرداندن پرونده ها و پرداخت مبلغ درخواستی به آنها اعتماد کنند.
به گفته کریستوفر بوید، محقق Malwarebytes: «این چرخه اعتماد به باجافزار در سالهای اخیر اعتبار خود را از دست داده است، زیرا برخی گروهها حتی پس از دریافت باج به اخاذی ادامه میدهند. همچنین بسیاری از باندهای سایبری اکنون پس از دریافت باج بدون ارائه راه حلی برای قربانی ناپدید می شوند. باج افزار ناقص مانند Onyx (Chaos) نیز بازیابی اطلاعات را غیرممکن می کند. بوید در این مقاله نوشت: «در حال حاضر، تعداد باج افزارها بسیار زیاد و غیرقابل مدیریت شده است. بنابراین نباید به آنها اعتماد کنید و از آنها انتظار داشته باشید که مطابق انتظار عمل کنند. اکنون انتظار می رود که اخاذی حتی پس از دریافت باج نیز ادامه یابد. همانطور که در این مقاله نوشته شده است، مدل باج افزار به عنوان یک سرویس عمر کوتاهی داشته است و مشارکت کنندگان باج افزار عموما بدون توجه به انتظارات گروه اصلی به انجام وظایف خود ادامه می دهند.
از جانب آشوب در حالی که جاسپر
مشکلات رمزگذاری در نسخه پنجم Chaos که مدتی پیش منتشر شد برطرف شد. در نتیجه، اگرچه باجافزار کندتر شده است، اما توانایی رمزگذاری تمام فایلها با اندازههای مختلف را دارد. همچنین رمزگشای این نسخه اصلاح شده و قابلیت رمزگذاری فایل ها به جز فایل های موجود در درایو C را دارد بنابراین ممکن است خطرات بیشتری ایجاد کند. به تازگی نسخه ششم این سازنده باج افزار با نام یاشما منتشر شده است. این نسخه با قابلیت پیکربندی باج افزار می تواند از اجرای باج افزار بر اساس زبان تنظیم شده در دستگاه قربانی جلوگیری کند. نویسندگان باج افزار معمولاً از این تکنیک برای جلوگیری از آلوده شدن رایانه های واقع در کشور یا منطقه خود استفاده می کنند که می تواند مشکل ساز باشد. Yashma همچنین میتواند سرویسهای مختلفی را که روی رایانه قربانی اجرا میشوند، از جمله آنتی ویروس، خدمات پشتیبانگیری، سرویسهای ذخیرهسازی داده، سرویسهای دسکتاپ از راه دور و ابزارهای مدیریت ذخیرهسازی اعتبار را متوقف کند.
اگرچه عفونت های ایجاد شده توسط یاشما تاکنون گسترده نبوده است، اما احتمال گسترش عفونت ها وجود دارد، به خصوص با توجه به اینکه این سازندگان باج افزار به راحتی در جوامع زیرزمینی قابل دسترسی هستند. حتی نسخه های کلون شده این باج افزار وجود دارد که استفاده از آنها کاملا رایگان است. محققان بلک بری میگویند: «ردیابی حملات باجافزار مرتبط با آشوب بسیار دشوار است، زیرا علائم نفوذ با هر باجافزار تولید شده توسط این ابزار تغییر میکند. حتی مهاجمان مبتدی نیز میتوانند پیوندهایی به نسخههای منتشر شده این باجافزار را در انجمنهای وب تاریک یا دیگر مخازن باجافزار بیابند و سپس از Chaos/Yashma برای انجام فعالیتهای مخرب استفاده کنند. محققان بلک بری همچنین در گزارش خود به علائم نفوذ و قوانین تشخیص YARA اشاره کردند.
منبع: csoonline