باج افزار Ryuk بیش از ۶۴۰ هزار دلار باج گرفته است.

نسرین ذاکریاخبارامنیت باج افزار حمله سایبری۱۳۹۷-۰۶-۰۶۱۳۹۷-۰۶-۰۶

ارسال شده در ۰۶-۰۶-۱۳۹۷ در ۱۲:۲۱ ب.ظ۱۳۹۷-۰۶-۰۶

باج افزار جدیدی با نام Ryuk در حال انتشار است که طبق گزارش‌ها، مهاجمان توانسته‌اند بیش از ۶۴۰ هزار دلار بصورت ارز بیت کوین را با استفاده از آن بدست آورند. حملات این باج افزار برای اولین بار در روز دوشنبه ۲۲ مرداد ماه، مشاهده شده است. بنظر می رسد که باج‌افزار، شرکت‌های بخصوصی را مورد هدف قرار داده است اما نحوه انتشار آن نامعلوم است. اما بر خلاف این گزارشات، محققان امنیتی از شرکت‌های مختلف، موفق به شناسایی نحوه‌ی گسترش این باج افزار و قربانیانی که سیستم های آنها دچار آسیب پذیری شده بود، نشدند.

پژوهشگران حدس می‎زنند که باج‌افزار از طریق ایمیل‌های فیشینگ و یا اتصالات RDP (پروتکل اتصال به دسکتاپ از راه دور) ضعیف گسترش یافته باشد. هرچند محققان نتوانستند به طور دقیق نقطه‌ی ورودی این آلودگی را هنوز شناسایی کنند.

Mark Lechtik محقق امنیتی در طی یک مکالمه‌ی شخصی با وبلاگ خبری Bleeping Computer گفته است که؛ با توجه به چیزی که ما اکنون شاهد آن هستیم، حملات این باج افزار اصولاَ هدفمند است. دلیل این امر این است که بدافزارهای مخرب برای اجرا شدن به Admin Privileges نیاز دارند و به طور خودکار نمی‌توانند به آن دست پیدا کنند.

وی افزود، برای اجرا شدن آن باید سطح دسترسی را بدست بیاورید، اما هیچ آرتیفکتی برای اجرا شدن بدافزار مخرب وجود ندارد. باج‌افزار Ryuk به نوعی با باج‌افزار Hermes در ارتباط است. بنظر می‌رسد که نویسندگان این دو باج‌افزار یکی باشند و یا نویسنده Ryuk به کد منبع Hermes دسترسی پیدا کرده باشد. پیش از این براساس گزارشات BAE System در اکتبر سال ۲۰۱۷ مشخص شد که باج‌افزار Hermes در ارتباط با گروه مجرمین سایبری Lazarus یک واحد جاسوسی سایبری دولتی بوده است که قبلا با ارتش کره‌ی شمالی نیز ارتباط داشته است.

در آن زمان، محققان بر این باور بودند که گروه Lazurus باج افزار Hermes را بر روی شبکه‌ی FEIB بانک بین المللی تایوان مستقر کرده است، تا بتواند از طریق حملات سایبری ۶۰ میلیون دلار از حساب بانکی‌ها را به سرقت ببرند. اما Hermes به عنوان یک عامل انحرافی برای به سرقت بردن از بانک تایوان، یک ابزار کاملا کاربردی و مرگبار به حساب می آید.

Fabian Wosar محقق شرکت Emsisoft ، Hermes را پس از کشف آن در فوریه سال ۲۰۱۷ در جریان مستقیم Youtube قرار داد. نسخه‌های مختلف Hermes در گذشته منتشر شده‌اند که نسخه اولیه آن در فوریه ۲۰۱۷ و نسخه ۲،۱ آن در نوامبر ۲۰۱۷ مشاهده شده و نسخه آخر Hermes نیز موازی با Ryuk در حال انجام فعالیت است. نسخه‌ی دوم Hermes در مقابل نسخه‌ی قبلی قرار گرفت با این تفاوت که قابل رمزگشایی نبود.

نسخه ی ۲٫۱ Hermes در نوامبر سال ۲۰۱۷ ، پس از سرقت از بانک FEIB نمایان شد. و طبق گزارشات بعدی آزمایشگاه Intezer مشخص شد که شباهتهایی بین کدهای باج افزار Hermes در نسخه ی ۲٫۱ ، و باج افزار قبلی Lazarus وجود دارد. نسخه ی ۲٫۱ Hermes تا به امروز باقی مانده است و به نظر می رسد با باج افزار تهدیدی جدید Ryuk هم تراز است. تفاوت این دو باج‌افزار در اهداف آن است که Hermes بصورت گسترده منتشر شده اما Ryuk اهداف از پیش انتخاب شده را مورد حمله قرار داده است.

شباهتهای قابل توجه این دو باج افزار Ryuk و Hermes به وضوح مشخص است.

محققان امنیتی شرکت Checkpoint که انواع باج افزارهای اخیر Ryuk را مورد تحلیل و بررسی قرار داده است، برخی از شباهت‌ها و ارتباطات کاملاَ واضح را بین نسخه‌های Hermes و نمونه‌ی جدید Ryuk نشان می‌دهد که هردوی آنها طیف گسترده‌ایی از کدها را به اشتراک می گذارند.

تابع کدگذاری فایل‌ها در هردوی آنها یکسان است.
Ryuk و Hermes هردو از نشانگر فایل‌های رمزنگاری شده استفاده می کنند.
بررسی نشانگر فایل در هردو یکسان است.
فولدر وایت لیست در هردو یکسان است. (مانند: Ahnlab-Microsoft-$Recyclebin)
هردوی آنها از اسکریپت‌های مشابه برای حذف فایل‌های پشتیبان و Shadow Volumes استفاده می کنند.
در هردوی آنها، در نهایت فایل‌ها به دیسکی با نام و هدف مشابه انتقال داده می شوند.

نسخه‌های ۳۲ بیتی و ۶۴ بیتی باج‌افزار Ryuk کشف شده‌اند و این امر نشان می‌دهد که این بدافزار قابلیت آلوده‌سازی تمامی سیستم‌ها را دارا است. شباهت‌های موجود در کدهای این باج‌افزار و Hermes در هر دو نسخه قابل مشاهده است. این باج‌افزار دارای قابلیت‌هایی است که می‌تواند بیش از ۴۰ فرایند پردازشی و ۱۸۰ سرویس را با دستور taskkill متوقف کند. لیست سرویس‌ها و فرایندهای پردازشی در یک لیست از پیش تعیین شده‌اند.

اما هم چنان تفاوت‌هایی نیز وجود دارد که یکی از اصلی ترین آنها، که توسط شرکت امنیتی Checkpoint و Malware Hunter مشخص شده این است که باج افزار Ryuk قبل از آنکه سیستم قربانی را آلوده کند، تمامی برنامه و خدمات سیستم را متوقف می کند.

علاوه بر این، ماهیت اهداف باج افزار Ryuk هرگز مشخص نیست. شرکت امنیتی Checkpoint اعلام کرده است که، چندین نمونه از Ryuk کشف شده است که پیام هایی را برای درخواست باج ارسال می کنند. نکته قابل توجه در این باج‌افزار، پیام باج آن است که در سیستم‌های مختلف پیام‌های باج مختلفی قرار داده شده است. بنظر می‌رسد که باج‌افزار با توجه به شناسایی قابلیت پرداخت هدف مورد نظر، پیام‌های مختلفی برای دریافت مقادیر متفاوت درخواست می‌کند. در یکی از این پیام ها از قربانی خواسته شده بود که برای ارتباط با نویسنده‌ی Ryuk تنها از طریق ایمیل، ارتباط برقرار کند.

بیشتر درخواست های باج این باج افزار ۵۰ بیت‌کوین معادل ۳۲۰۰۰۰ دلار و کمترین آنها ۱۵- ۳۵ بیت کوین معادل ۲۲۴۰۰۰ دلار بوده است. Lechtik به وبلاگ خبری Bleeping Computer اعلام کرده است که ؛ جمع آوری این جزییات باعث بوجود آمدن این فرضیه می شود که Ryuk پس از آلوده شدن شبکه توسط هکرها ، گسترش پیدا می کند نه از طریق ایمیل اسپم ها.

Checkpoint هم چنین یادآور شد که؛ ممکن است ۲ سطح تهاجمی برای آن وجود داشته باشد. باند Ryuk ممکن است نمونه‌های متفاوتی از Ryuk را طراحی کرده و آن را بر روی سازمانهای بزرگ گسترش بدهند تا باج بالایی را دریافت کنند.

متاسفانه با توجه به استفاده ترکیبی از الگوریتم‌‎های AES و RSA در این باج‌افزار، در حال حاضر امکان رمزگشایی فایل‌های آلوده شده توسط آن وجود ندارد.