یک شرکت امنیت سایبری رمزگشایی را برای باج افزار آکیرا ( Akira ) منتشر کرده است که راهی برای ده‌ها قربانی که از زمان ظهور این گروه در مارس 2023 با حملات آن درگیر بوده اند، فراهم خواهد کرد

چندین کارشناس به خبرگزاری ریکوردد فیوچر نیوز (Recorded Future News) گفته اند که یک رمزگشا برای این باج افزار، ماه‌ها قبل از اینکه شرکت امنیت سایبری Avast نسخه آن را برای دانلود عمومی تولید و منتشر کند، بی‌ سر و صدا در میان پاسخ‌دهنده‌ها استفاده می‌شده است.

گروه باج‌ افزاری آکیرا، مسئولیت چندین حادثه مهم را به عهده گرفته است؛ از جمله حملات به دولت خلیج ناسائو در تگزاس، دانشگاه بلوفیلد، یک بانک دولتی در آفریقای جنوبی و کارگزار بزرگ فارکس لندن؛ یعنی کپیتال گروپ.

این رمزگشا بر روی نسخه ویندوز این باج افزار کار می کند و آواست می گوید که در حال کار بر روی رمزگشایی است که برای نسخه لینوکس کشف شده در ماه گذشته کار کند.

نسخه لینوکس باج‌ افزار آکیرا مانند نسخه ویندوزی خود کار می‌کند.

به گفته محققان، فایل های رمزگذاری شده دارای پسوند و طرح رمزگذاری یکسانی هستند و رمزگشای فعلی می تواند برای باز کردن قفل فایل های رمزگذاری شده توسط نوع لینوکس نیز استفاده شود.

محققان خاطرنشان می کنند که باج‌ افزار آکیرا شباهت‌های زیادی با باج‌افزار کانتی (Conti) دارد که به گفته آنها ممکن است نشان دهد که نویسندگان بد افزار آکیرا، حداقل از منابع فاش شده کانتی الهام گرفته‌اند.

فایل‌ها و دایرکتوری‌هایی که در طول حملات حذف می‌شوند، یکسان هستند و چندین ویژگی رمزگذاری شبیه به موارد استفاده شده توسط کانتی است.

چندین شرکت امنیتی دیگر در مورد شباهت ها و روابط بین باج افزار کانتی که امروزه از بین رفته است و آکیرا اشاره کرده اند.

آلن لیسکا، کارشناس باج‌افزار ریکوردد فیوچر (Recorded Future) می‌گوید که اگرچه آکیرا تنها از ماه مارس شروع به کار کرده است، اما در حال حاضر بیش از 50 قربانی را به سایت اخاذی خود اضافه کرده است، که نشان می‌دهد به احتمال زیاد آنها یک گروه با تجربه هستند که به استفاده از نوع باج افزار متفاوتی روی آورده‌اند.

او می گوید:

این گروه بیشتر به خاطر سایت نشت خود شناخته شده است، که شبیه ترمینال رایانه ای دهه 80 (متن سبز در پس زمینه سیاه) است.

 

یکی دیگر از چیزهایی که در مورد آنها جالب است این است که آنها در یادداشت باج خود به همه می گویند که چگونه وارد شبکه قربانیانی شده اند که پولی نمی پردازند.

این گروه هفته گذشته پس از ارسال یک عذرخواهی به دلیل حمله به بانک توسعه دولتی آفریقای جنوبی با ادعای اینکه شخصی بدون اجازه آنها از باج افزار آنها استفاده کرده است، موجی به راه انداخته بود.

بیشتر بخوانید

تحلیلگران تهدید یک کمپین بدافزار جدید به نام «GO#WEBBFUSCATOR» را مشاهده کرده‌اند که بر‌ایمیل‌های فیشینگ، اسناد مخرب و تصاویر فضایی تلسکوپ جیمز وب برای انتشار بدافزار متکی است.

این بدافزار به زبان Golang  که در بین مجرمان سایبری محبوبیت پیدا کرده، نوشته شده است. زیرا این بدافزار میان پلتفرمی (ویندوز، لینوکس، مک) است و مقاومت بیشتری در برابر مهندسی معکوس و تجزیه و تحلیل را ارائه می‌کند.
در کمپین اخیری که توسط محققان Securonix کشف شد، عامل تهدید، payload‌هایی را که در حال حاضر توسط موتور‌های آنتی ویروس در پلتفرم اسکن VirusTotal به عنوان مخرب علامت‌گذاری نشده‌اند، مستقر می‌کند.

زنجیره آلودگی
آلودگی با یک‌ ایمیل فیشینگ با یک سند مخرب پیوست شده،”Geos-Rates.docx” شروع می‌شود که یک فایل تمپلیت را دانلود می‌کند.

آن فایل حاوی یک ماکرو VBS مبهم است که در صورت فعال بودن ماکرو‌ها در مجموعه آفیس، به صورت خودکار اجرا می‌شود. سپس کد یک تصویر JPG (“OxB36F8GEEC634.jpg”) را از یک منبع راه دور (“xmlschemeformat[.]com” دانلود می‌کند، آن را با استفاده از certutil. exe به یک فایل اجرایی (“msdllupdate.exe”) رمزگشایی کرده و راه‌اندازی می‌کند.

hackers hide malware in james webb telescope

در یک نمایشگر تصویر، JPG. خوشه کهکشانی SMACS 0723 را نشان می‌دهد که توسط ناسا در جولای ۲۰۲۲ منتشر شد.
با این حال، اگر با یک ویرایشگر متن باز شود، تصویر محتوای اضافی را نشان می‌دهد که به‌عنوان یک گواهی ارائه‌شده پنهان شده است، که یک payload با کد Base64 است که به فایل اجرایی مخرب ۶۴ بیتی تبدیل می‌شود.

hackers hide malware in james webb telescope

رشته‌های payload با استفاده از ROT25 بیشتر مبهم می‌شوند، در حالی که باینری از XOR برای مخفی کردن مجموعه‌های Golang از تحلیلگران استفاده می‌کند. علاوه بر این، مجموعه‌ها از تغییر کیس استفاده می‌کنند تا از تشخیص مبتنی بر امضا توسط ابزار‌های امنیتی جلوگیری کنند.

فانکشن‌های بدافزار
بر اساس آنچه از تجزیه و تحلیل بدافزار دینامیک استنباط می‌شود، فایل اجرایی با کپی کردن خود در «%%localappdata%%\\microsoft\\vault» و افزودن کلید رجیستری جدید به ماندگاری دست می‌یابد.
پس از اجرا، بدافزار یک اتصال DNS به سرور command-and-control (C2) برقرار می‌کند و پرس و جو‌های رمزگذاری شده را ارسال می‌کند.
مجموعه Securonix در گزارش توضیح می‌دهد: «پیام‌های رمزگذاری‌شده در سرور C2 خوانده می‌شوند و رمزگذاری نمی‌شوند، بنابراین محتوای اصلی آن آشکار می‌شود. »
“در مورد GO#WEBBFUSCATOR، ارتباط با سرور C2 با استفاده از درخواست‌های TXT-DNS با استفاده از درخواست‌های nslookup به name server کنترل‌شده توسط مهاجم اجرا می‌شود. تمام اطلاعات با استفاده از Base64 کدگذاری شده است.”
سرور C2 ممکن است با تنظیم فواصل زمانی بین درخواست‌های اتصال، تغییر زمان‌بندی nslookup یا ارسال دستوراتی برای اجرا از طریق ابزار cmd.exe به بدافزار پاسخ دهد.
در طول آزمایش، Securonix مشاهده کرد که عامل‌های تهدید در سیستم‌های آزمایشی خود فرمان‌های شمارش دلخواه را اجرا می‌کردند که اولین مرحله شناسایی استاندارد بود.
محققان خاطرنشان می‌کنند که دامنه‌های مورد استفاده برای کمپین اخیراً ثبت شده‌اند و قدیمی‌ترین دامنه متعلق به ۲۹ مه ۲۰۲۲ است.
مجموعه Securonix، مجموعه‌ای از شاخص‌های خطرآفرینی (IoCs) را ارائه کرده است که شامل هر دو شاخص شبکه و مبتنی بر هاست است.

بیشتر بخوانید

یک خانواده باج‌ افزار جدید به نام Luna می‌تواند برای رمزگذاری دستگاه‌های دارای سیستم عامل‌هایی از جمله سیستم‌های ویندوز، لینوکس و ESXi استفاده شود.

باج‌ افزار Luna که توسط محققان امنیتی Kaspersky از طریق یک تبلیغ انجمن باج‌افزار دارک‌وب که توسط سیستم نظارت فعال اطلاعات Darknet Threat این شرکت شناسایی شده است، کشف شد. به نظر می‌رسد که باج‌افزار Luna به‌طور خاص برای استفاده تنها توسط عوامل تهدید روسی‌زبان طراحی شده است.

کسپرسکی گفت: “در این آگهی آمده است که Luna فقط با وابستگان روسی زبان کار می‌کند. همچنین، یادداشت پیش‌نویسی شده باج در داخل باینری حاوی اشتباهات املایی است.

به همین دلیل، ما با اطمینان متوسط ​​فرض می‌کنیم که بازیگران پشت سر لونا به زبان روسی صحبت می‌کنند.

بدافزار Luna (به روسی ماه) باج‌افزار بسیار ساده‌ای است که هنوز در دست توسعه است و با قابلیت‌های محدود بر اساس گزینه‌های کامند لاین موجود است.

با این حال، از یک طرح رمزگذاری نه چندان رایج استفاده می‌کند، که منحنی بیضوی سریع و ایمن X25519 Diffie-Hellman را با استفاده از Curve25519 با الگوریتم رمزگذاری متقارن رمزگذاری پیشرفته (AES) ترکیب می‌کند.

باج‌ افزار کراس پلتفرمی مبتنی بر Rust
گروهی که پشت این باج‌ افزار جدید قرار دارد، این نوع جدید را در Rust توسعه داده و از ماهیت پلتفرم-آگنوستیک آن برای انتقال آن به پلتفرم‌های متعدد با تغییرات بسیار کمی در سورس‌کد استفاده کرده است.

استفاده از یک زبان بین پلتفرمی همچنین باج‌افزار Luna را قادر می‌سازد تا از تلاش‌های تجزیه و تحلیل کد استاتیک خودکار فرار کرده و بگریزد.

محققان افزودند: “هر دو نمونه لینوکس و ESXi با استفاده از کد منبع یکسان با برخی تغییرات جزئی نسبت به نسخه ویندوز کامپایل شده‌اند. بقیه کد‌ها هیچ تغییر قابل توجهی نسبت به نسخه ویندوز ندارند.”

بدافزار Luna همچنین آخرین روند اتخاذ شده توسط باند‌های جرایم سایبری را تأیید می‌کند که باج‌افزار‌های چند پلتفرمی را توسعه می‌دهند که از زبان‌هایی مانند Rust و Golang برای ایجاد بدافزار‌هایی استفاده می‌کنند که قادر به هدف قرار دادن چندین سیستم عامل بدون تغییر اندک هستند.

کسپرسکی می‌گوید با توجه به اینکه این گروه به تازگی کشف شده و فعالیت‌های آن همچنان تحت نظارت است، داده‌های بسیار کمی در مورد اینکه چه قربانیانی با استفاده از باج‌افزار Luna رمزگذاری شده‌اند، وجود دارد.

دیگر خانواده‌های باج‌افزار جدید
بلیپینگ کامپیوتر در این ماه گزارشی درباره Lilith، باج‌افزار مبتنی بر کنسول C/C++ که دستگاه‌های Windows 64 بیتی را هدف قرار می‌دهد، و 0mega، یک عملیات باج‌افزار جدید که شرکت‌ها را از ماه می‌هدف قرار می‌دهد و میلیون‌ها دلار باج می‌خواهد، منتشر کرد.

و همچنین هر دو به سرقت داده‌ها از شبکه‌های قربانیان قبل از رمزگذاری سیستم‌هایشان برای پشتیبانی از حملات اخاذی مضاعف معروف هستند.

بیشتر بخوانید