گرفتاری دوباره صدها سازمان در جهان به نسخه تازه باج‌افزار ریویل

آسیب‌پذیری موجود در محصولی از شرکت «کاسیا» (Kaseya) باعث آلوده شدن سرورهای «وی اس ای» (VSA) در صدها شرکت و سازمان در سراسرجهان، به باج‌افزاری بنام «آرایول» (REvil ransomware) شد. تاجایی که شرکت کاسیا از بیش از سی و شش هزار مشتری خود خواسته، برای جلوگیری از گرفتار شدن در دام این باج‌افزار، استفاده از «نرم افزار به عنوان یک سرویس» (SaaS) را متوقف، و سرورهای (VSA) خود را از دسترس خارج کنند.

شرکت کاسیا در بیانیه خود گفته، اگرچه معتقد است که خطری کاربران (SaaS) را تهدید نمی‌کند، اما با این وجود، توصیه توقف استفاده از این خدمات را تا دست‌کم، ۲۴ ساعت آینده مطرح و موضوع را به پلیس فدرال آمریکا (FBI) و آژانس امنیت سایبری و زیرساخت‌های آمریکا (CISA) اطلاع داده است.

این باج‌افزاز تا زمان نگارش این گزارش، دست کم  بیش از ۲۰۰ شرکت آمریکایی، بیش از چهل شرکت غیرآمریکایی، و هشت ارائه دهنده سرویس‌های مدریریت شده (MSP) را در کشورهای مختلف گرفتار کرده است.  ساعاتی بعد از انتشار خبر این آلودگی، بخشی در وبسایت جامعه مجازی «ردیت» (Reddit) برای کمک به قربانیان این باج‌افزار راه‌اندازی شد، که در آن هم قربانیان و متخصصان به تبادل نظر پرداخته و تجربه‌های خود را با دیگران به اشتراک می‌گذارند.

«مارک لومان» (Mark Loman)، تحلیلگر بدافزارها در شرکت (Sophos) که تحرکات این باج‌افزار را رصد می‌کند، ازجمله افرادی است که اولین آگاهی‌ها را در خصوص عملکرد این باج‌افزار به شکل رشته توئیت منتشر کرد. بنابر تحلیل‌های اولیه او، باج‌افزار ابتدا از طریق بسته‌های به‌روزرسانی مخرب، با پوشش نام شرکت «کاسیا» به سرورهای «وی اس ای» وارد شده و از طریق موتور اسکریپت نویسی داخلی منحصربه فردی که برای آن طراحی شده، خود را به تمامی سیستم‌های سرویس گیرنده سرور می‌رساند.

«مارک لومان» می‌گوید، باج‌افزار این باج‌افزار قادر است تمامی اقدامات آنتی ویروس‌ها برای ممانعت از آلوده شدن سیستم را مختل کرده و سپس با یک برنامه جعلی، (Windows Defender) که در یک نسخه قانونی از (Microsoft Defender) جای‌گرفته، فایلی بنام (Windowsmpsvc.dll) را در سیستم قربانی پیاده‌سازی کند. سپس برنامه‌های نصبی خود (REvil binary) را نصب و تمامی اطلاعات و داده‌های  موجود را رمزگذاری و از دسترس خارج ‌کند.

بنا برگفته «مارک لومان»،  شرکت‌های گرفتار شده در این دام، در صورت اتصال سیستم‌هایشان به دامنه باج‌افزار، پیامی مبنی بر لزوم پرداخت پنج میلیون دلار باج، و در صورت عدم اتصال به دامنه، پیامی مبنی بر پرداخت پنجاه هزار دلار دریافت می‌کنند.

تیم تحقیاتی شرکت امنیتی (secureworks) نیز در گزارشی جداگانه به تحلیل ساختاری این باج‌افزار پرداخته و گفته، با توجه به تشابه کد‌های باج‌افزار تازه، با باج‌افزار (LV Ransomware) و نسخ قبلی باج‌افزار (REvil)، بعید نیست که کدهای باج‌افزار تازه توسط مهاجمان دزدیده شده و یا خریداری شده باشد.

 بنا بر این گزارش، بازیگران پشت پرده باج‌افزار تازه که محققان (secureworks) از آنها با عنوان (Gold Northfield ) نام برده اند، احتمالا یک  باج‌افزار (LV Ransomware) را با یک ویرایشگر (hex) برای اجرای مجدد باینری های (REvil) توسعه داده‌اند. کدهای باینری استفاده شده در باج‌افزار تازه، همان باینری‌های (REvil) است که به نظر می‌رسد با مهندسی معکوس، جایگزین کدهای نسخه بتا باج‌افزار (REvil v2.03) شده است. استفاده از ویرایشگر (hex) در این نسخه نیز ممکن است به این دلیل انجام شده باشد که ویژگی های بالقوه باج‌افزار برای تمایز دو نسخه (LV Ransomware) و (REvil) از یکدیگر غیرممکن شود. همچنین توسعه‌دهندگان  در نسخه تازه این باج‌افزار، برای سخت‌تر کردن رمزنگاری از یک هش (CRC32) و یک کلید (RC4) نیز بهره برده و یک ویژگی دامنه فرمان و کنترل (C2) نیز به باج‌افزار افزوده‌اند.  

محققان شرکت (secureworks) در گزارش خود گفته‌اند که ساختار کد و شیوه عملکرد باج‌افزار (LV Ransomware) با (REvil) به دلالی فنی متعدد یکسان است. به عنوان مثال زمان تایپ کمپایل (2020-06-15 16:24:05) در بخش تنظیمات (7tdlvx) نسخه (LV binary is 2.02)، برابر است با همین مقدار در نسخه (REvil 2.02) که هفدهم ماه ژوئن سال گذشته کشف و گزارش شده بود.

همچنین بین کدهای نسخه (REvil 2.03)، از سوی نویسنده یا توسعه‌دهندگان باج‌افزار، قعطعاتی با مضمون توهین به متخصصان امنیتی و هکرهای اخلاقی درج شده بود که تلاش  می‌کردند تا با این باج‌افزار و گردانندگان آن مقابله کنند. این کدها در نسخ پایدار باج‌افزار حذف شده است.

این سومین بار است که در سال‌های اخیر، مجرمان اینترنتی برای نفوذ و آلوده‌سازی سیستم‌ها، از محصولات شرکت «کاسیا» استفاده می‌کنند.

درماه فوریه سال ۲۰۱۹ یک باند باج‌افزاری به نام (Gandcrab ransomware) برای حمله به قربانیان خود، در شبکه سرویس‌های مدیریت شده (MSPs)، از یک آسیب‌پذیری در افزونه (Kaseya VSA)، متعلق به نرم‌افزار (ConnectWise Manage) بهره بردند که به عنوان یک محصول اتوماسیون خدمات حرفه‌ای (PSA) ، توسط شرکت‌های پشتیبانی فناوری اطلاعات استفاده می‌شد. این آسیب پذیری دو سال پیش از آن، در ماه نوامبر سال ۲۰۱۷ توسط یک محقق امنیتی به نام «الکس ویلسون» (Alex Wilson) کشف و با شناسه (CVE-2017-18362) به عنوان یک آسیب‌پذیری مرتبط با حملات تزیق به پایگاه داده (SQL Injection)   ثبت شده بود.

شرکت «کاسیا» پس از کشف این آسیب‌پذیری وصله‌های ترمیمی را به شکل بسته‌های به‌روزرسانی منتشر کرد. اما ظاهرا، عدم به روز رسانی نرم‌افزا، توسط شرکت‌ها باعث گرفتار شدن آنها به دام باج افزار شد. تاریخچه به جامانده در جامعه مجازی جامعه مجازی «ردیت» (Reddit) نشان می‌دهد که دست‌کم تا پایان ماه ژانویه سال ۲۰۱۹، مهاجمان توانسته بودند ۸۰ هدف را به باج‌افزار (GandCrab) آلوده کنند. پس از آن نیز بنا بر گزارش‌ها، حداقل ۱۵۰۰ هدف دیگر به دام این باج‌افزار افتادند.

باند باج‌افزاری (Gandcrab ransomware) که با نام تجاری (REvil) نیز شناخته می‌شوند، در ماه ژوئن ۲۰۱۹ نیز دور دوم حملات خود را با استفاده از آسیب‌پذیری‌های موجود در محصولات شرکت «کاسیا» آغاز کردند. آنها اینبار دو آسیب‌پذیری را در دو محصول (Webroot SecureAnywhere) و (Kaseya VSA) به کار گرفته و به کاربران شبکه سرویس‌های مدیریت شده (MSPs) یورش بردند.

«کایل هانسلووان» (Kyle Hanslovan)، بنیانگذار و مدیر عامل آزمایشگاه امنیتی (Huntress) در خصوص این حمله باج‌افزاری گفته بود که هکرها از طریق «نقاط پایانی دسكتاپ از راه دور» (RDP) به سیستم کاربران شبکه‌های (MSPs) نفوذ کرده و به صورت دستی اقدام به حذف نرم‌افزارهای امنیتی، مانند (ESET) و (Webroot) می‌کنند. سپس از طریق کنسول‌های کنترل از راه دور، اقدام به اجرای اسکریپت‌های (Powershell) کرده و در نهایت اسکریپت باج‌افزار خود (Sodinokibi) را بارگیری و نصب می‌کردند.

تهیه یک نسخه پشتیبان به‌روز از سیستم‌عامل و داده‌های موجود در کامپیوتر، بر روی یک هارد جانبی که همواره از کامپیوتر جدا نگهداشته می‌شود، بهترین راه برای حفظ سرمایه‌های معنوی، در زمان گرفتار شدن به دام باج‌افزارها است.