حذف باج افزار | بازیابی اطلاعات | ریکاوری اطلاعات

باج افزار جدیدی به نام Pay2Key

باج افزار جدیدی به نام Pay۲Key

مقدمه

در این مقاله قصد داریم تا یک باج افزار جدید به نام PAY2KEY  را به شما معرفی کنیم .

در اواخر 2021، تعداد زیادی از شرکت های اسرائیلی ( به طور حدودی 12 شرکت که در آن ها یک شرکت بازی رایانه ای و یک شرکت حقوقی نیز دیده می شد )حملات باج افزاری را گزارش کردند. در حالی که برخی از حملات توسط رشته های باج افزار شناخته شده مانند REvil و Ryuk انجام شده اند، چندین شرکت بزرگ با یک نوع باج افزار ناشناخته، که پیشتر به آن برنخورده بودند، به نام  Pay2Key  ، یک حمله کامل و جدی  را تجربه کردند.

با گذشت روزها، تعداد بیشتری از حملات باج افزار گزارش شده مربوط به باج افزار جدید Pay2Key بود. این باج افزار جدید که با  نام Pay2Key شناخته شد، سازمان هایی از اسرائیل و برزیل را مورد هدف قرار داده و ظرف یک ساعت شبکه های آن ها را در حملات هدفمندی رمزگذاری کرد.

نحوه عملکرد در این باج افزار به چه صورت بود؟

بررسی‌هایی که تاکنون بر روی این باج افزار انجام شده، نشان می دهد که مهاجم ممکن است مدتی قبل از حمله، به شبکه های سازمان ها دسترسی داشته باشد. زیرا در این صورت است که توانایی انجام یک حرکت سریع باج افزار را در عرض یک ساعت در کل شبکه کسب کرده و توانسته آن را اجرا کند.

پس از تکمیل مرحله نفوذ، شرکت هایی که مورد حمله قرار گرفته بودند،  یک یادداشت باج سفارشی دریافت کردند. در این یادداشت تقاضای مقداری کمی   بیت کوین چیزی حدود 7-9 عدد مشاهده می شد.  (110 تا 140 هزار دلار).

به طور کلی نحوه عملکرد باج افزار بدین صورت است که در ازای نفوذ خود و اطلاعاتی که کسب کرده، چیزی را درخواست می کند. باج افزار pay to key نیز بدین صورت بود که  به سرعت مکانیسمی را اجرا کرد که در آن مکانیسم بخش های قابل توجهی از شبکه قربانی رمزگذاری شدند. پس از آن  پیامی برای  نشان داده شد که در صورت پرداخت نشدن باج مشخص شده، اطلاعات شرکت فاش می شوند.
علاوه بر این کارشناسان شرکت های هدف که مورد حمله قرار گرفته بودند ادعا می کنند هکرها از یک روش دوگانه اخاذی استفاده کرده اند. بدین صورت که آنها فقط برای حذف رمز های ایجاد شده توسط باج افزار درخواست باج نکردند، بلکه برای افشا نکردن اطلاعات به دست آمده، درخواست باج کرده اند.

یافته های کلیدی از بررسی باج افزار pay2kay

نفوذ های اولیه توسط این باج افزار  احتمالاً از طریق اتصال RDP ایجاد شده بود.

  • حرکت جانبی برای اجرای این باج افزار نیز با استفاده از exe بر روی ماشین های مختلف درون سازمان انجام شد..
  • یافته ها نشان داده که در برنامه ریزی این باج افزار، توجه ویژه ای به طراحی ارتباطات شبکه شده بود. هدف اصلی این کار کاهش نویز ماشین های رمز گذاری شده بود. زیرا احتمال داشت که تعداد زیادی از ماشین های رمزگذاری، هنگام تماس با سرورهای فرماندهی و کنترل نویز ایجاد کنند و عملیات دچار مشکل شود.
  • طرح رمزگذاری برای این باج افزار نیز با استفاده از الگوریتم های AES وصورت گرفته بود.

بررسی های دقیق تر و ارتباط با سایر باج افزار ها

کارشناسان با تجزیه و تحلیل عملیات باج افزار Pay2Key، نتوانستند آن را با هیچ گونه باج افزار موجود مرتبط کنند و یا نقطه مشترکی بین آن ها بیابند . همین امر موجب شد که به نظر برسد این باج افزار از ابتدا توسعه یافته بود .

شاید بتوان تنها یک موتور در VirusTotal  را جزو نمونه های باج افزار آپلود شده و به عنوان مخرب شناسایی کرد. باج افزار Pay2key  از هیچ نوع  بسته حفاظتی استفاده نمی کند و احتمالا دلیل این مساله پنهان بودن عملکرد داخلی باج افزار است .

در حالی که هویت مهاجم و پشت پرده باج افزار Pay2 key  ناشناخته مانده بود، اما وجود عبارت های انگلیسی متناقض در رشته های مختلف هر کد، و همچنین مواردی که در فایل Log مشاهده شد، نشان می دهد که زبان اصلی و مادری مهاجم انگلیسی نبوده و دارای زبان اصلی دیگری می باشد.

باج افزار ترکیبی از طرح رمزگذاری متقارن و نامتقارن را پیش گرفته بود که از الگوریتم های AES و RSA استفاده می کرد. همچنین این باج افزار برای سرور های آنلاین و متصل به اینترنت کاربرد دارد و در نفوذ به سرور های آفلاین C2 شکست می خورد.

چگونگی رمز گزاری شبکه ها در یک ساعت توسط باج افزار Pay tom key

در اخرین گزارش هایی  که توسط Check Point اعلام شد، محققان می گویند که عوامل تهدید پشت باج افزار Pay2Key احتمالاً از پروتکل دسکتاپ از راه دور (RDP) در معرض عموم،  برای دسترسی به شبکه های قربانیان و استقرار بارهای مخرب اولیه استفاده می کنند.

در حالی که اپراتورهای Pay2Key قبل از اینکه باج افزار شروع به رمزگذاری سیستم ها کند، به شبکه های هدف نفوذ کرده و در آن فعال شدند، توانایی انجام یک حرکت سریع برای انتشار باج افزار را در عرض یک ساعت در کل شبکه کسب کرده بودند. این سرعت عمل به نوبه خود بسیار شگفت انگیز بود و طبق برنامه ریزی هایی که انجام شده بود به خوبی توانست شرکت های هدف را شوکه کند.

هنگامی که باج افزار وارد شبکه شرکت های هدف یا به بیانی دیگر شرکت های قربانی می شود، مهاجمان یک دستگاه محوری راه اندازی می کنند که به عنوان یک پروکسی برای تمام ارتباطات خروجی بین رایانه های آلوده به باج افزار و سرورهای فرمان و کنترل (C2) Pay2Key استفاده می شود. این امر  به مهاجم  کمک می کند قبل از رمزگذاری تمام سیستم های قابل دسترسی در شبکه، بتوانند ارتباط با زیر ساخت های خود را  با استفاده از یک دستگاه واحد در دست گیرند . همین مساله برقراری ارتباط با زیرساخت ها، سبب شد تا مهاجم از خطر شناسایی در امان بماند و  یا حداقل خطر شناسایی را را به خود اختصاص دهد.

باج تا 140 هزار دلار

دقیقا مانند سایر عملیات های باج افزاری که توسط انسان ها برنامه ریزی شده و کار می کنند، مهاجمان Pay2Key از ابزار قابل حمل قانونی  PsExec مایکروسافت، برای اجرای بارهای باج افزاری به نام Cobalt.Client.exe از راه دور در دستگاه های شبکه سازمان های هدف استفاده می کنند.

پس از آنکه مهاجم توانست با موفقیت یک دستگاه را رمزگذاری کند، باج افزار یادداشت باج گیری را روی سیستم نشان می دهد. این پیام باج  برای هر سازمان در معرض خطر سفارشی سازی شده است و مخصوص خودش می باشد . بدین صورت که از نام [ORGANIZATION]_MESSAGE.TXT استفاده می کرد

پشت پرده باج افزار Pay2key

پس از انقلاب 1979 ایران، روابط ایران و اسرائیل به طرز چشمگیری بدتر شد و همه جنبه های دیپلماتیک را تحت تأثیر قرار داد و تهدید به جنگ از زمان آخرین خصومت های آشکار در سال 1991 بر منطقه سایه افکند. به ویژه از زمان کشف استاکس نت در سال 2010، یک نفوذ و توطئه  ظاهراً اسرائیلی-آمریکایی علیه چندین هدف ایرانی از جمله  نیروگاه هسته ای موجود در نطنز،  اعمال شد.

در اواخر سال 2020، یک کمپین جدید باج افزاری جدید به نام Pay2Key علیه چندین شرکت اسرائیلی با روش اخاذی مضاعف راه اندازی شد. به دنبال این باج افراز جدید شاهد رمزگذاری شبکه قربانیان و نشت داده ها و اطلاعات این شرکت ها شدیم .

تیم اطلاعات تهدید چک پوینت پس از بررسی های بسیار توانست گروه تهدید پشت این حملات را ردیابی کند. شواهد بدست آمده  مبنی بر آن بود که منشأ این حملات  ایرانی است. همچنین این شواهد نشان داد  که کل عملیات بخشی از فعالیت های هک تیویسم ایران بود.

و اما چگونه منشا این باج افزار را به ایران احتمال دادند؟

محققان برای شناخت مقصد این باج، بر روی کیف پول های بیت کوین که شرکت های هدف به ازای باج پرداخت کرده بودند، تمرکز کردند: آن ها سپس توانستند تراکنش را به یک صرافی ارز دیجیتال ایرانی به نام Excoino که به نظر می رسد فقط برای شهروندان ایرانی باز است، ردیابی کنند.

جمع بندی:

باج افزار Pay to key  که در اواخر سال 2020 خودنمایی کرد، به طور عمده شرکت هایی از اسرائیل و برزیل را مورد حمله قرار داد. برنامه ریزی ها و استراتژی ها که از قبل توسط برنامه ریزان و مهاجمان با این باج افزار انجام شده بود، باعث شد تا در یک ساعت حملات به طور کامل انجام شود و به نتیجه دلخواه دست یابند .

می توان گفت که این باج افزار به هدف اعمال بیشترین آسیب بر هدف و کاهش احتمال شناسایی طراحی شده بود که این طراحی به خوبی به اجرا در آمد.

توضیحات ما در مقاله پیرامون نحوه عملیات این باج افزار و اطلاعات به دست آمده از بررسی های بود که سعی کردیم در بیانی نسبتا کوتاه تمامی مطالب را پوشش دهیم .

خروج از نسخه موبایل