مقدمه

در 10 جولای سال 2020، کاربر FoNixCrYptEr یک پست تبلیغاتی در انجمن جرایم سایبری دارک وب با عنوان خدمات یک باج افزار جدید با نام فونیکس برای کاربران ارسال کرد. اگر شما جزء آن دسته از کاربران هستید که اطلاعات دقیق در مورد باج افزار و نحوه فعالیت آن ندارید بهتر است در این مقاله با ما همراه باشید؛ زیرا قصد داریم به بررسی همه‌ جانبه سوابق شبکه توزیع باج افزار فونیکس بپردازیم. در یک تعریف ساده باید بگوییم حملات باج افزاری یکی از روش های غیرقانونی هکرها برای دریافت درآمد فراوان است.

زنجیره تامین باج افزار به عنوان یک سرویس

به دلیل اینکه، باج افزار فونیکس طی چندسال گذشته توسعه یافته است، بهتر است در گام اول به بررسی زنجیره تامین این باج افزار بپردازیم:
معمولا در حملات باج افزاری چندین گروه دخالت مستقیم و غیر مستقیم دارند. همه چیز با تلاش یک تیم برای دستیابی به هدفی مشترک آغاز می شود. بازیگران این مجموعه سعی می کنند امکان دسترسی خود به خدمات را به سایر کاربران بفروشند. برای مثال، اعضای چنین گروه هایی سعی می کنند در گام اول دسترسی از راه دور به ایمیل یا اعتبارنامه فیلترشکن را برای دسترسی اولیه به یک کارگزاری بفروشند.

این دسترسی در حقیقت از کاربران یک قربانی حقیقی می سازد. در یک مثال ساده می توان چنین گفت که اعضای گروه باج افزار اقدام به نصب Cobalt Strike دارای دسترسی سطح بالا میکنند، سپس دسترسی سطح بالای ایجاد شده را به وابستگان این باج افزار می فروشند. وابستگان افرادی هستند که امکان حق رای را برای ابزارهای Ransomware (باج افزار) فراهم کرده، قدرت آلوده سازی سیستم های مختلف را داشته و باج مورد نظر را از قربانیان جمع آوری می کنند. جمع آوری باج در این بدافزارها غالبا از طریق حذف اطلاعات کاربران انجام می شود. وابستگان با اپراتورها و توسعه دهندگان باج افزارها در ارتباط هستند تا بتوانند پس از پرداخت باج توسط قربانیان، سهم خود را از این درآمد دریافت کنند.
در ادامه بررسی سوابق شبکه توزیع باج افزار فونیکس باید بگوییم این بدافزار زیرساخت‌های لازم برای برخورد و ارتباط با قربانیان را فراهم کرده است. فرایند پرداخت باج و انتشار داده های بدست آمده، بخش دیگری از فرایندهای انجام شده توسط اعضای این گروه است. ساده سازی نقش های مختلف در یک حمله سایبری و پشتیبانی فنی توسط توسعه دهندگان این بدافزار، فونیکس را به یک تجارت سودآور برای شرکت های وابسته و همچنین کسانی که در زنجیره تامین دخیل هستند، تبدیل کرده است.
بررسی ها نشان می دهند پرداخت چنین باج ها و غرامت هایی در سال 2019 هزینه زیادی به شرکت ها تحمیل کرده است. برای مثال با توجه به تقاضای باج در حدود 84000 دلار و پرداخت این مبلغ توسط یک سوم شرکت های درگیر، درآمدی بالغ بر 6.3 برای این بدافزارها ایجاد کرده است. بازیگران پشت صحنه فونیکس هم قطعا به دنبال دستیابی به سود هنگفت هستند.

بررسی سوابق شبکه توزیع باج افزار فونیکس

بازیگران پشت پرده این بدافزار ادعا می کنند که فونیکس ابزاری توسعه یافته و منحصر به فرد است که با زبان برنامه نویسی C++ نوشته و طراحی شده است. با این حال، با نگاهی به کد منبع اجرایی که رمزگذاری این باج افزار را انجام داده، متوجه خواهید شد که برخی موارد متمایز کننده در این بدافزار وجود دارد که متعلق به Aphrodite است که توانسته فونیک را به یک بدافزار Lockbit تبدیل کند. با توجه به تشخیص و دفع حملات سایبری در سال‌های اخیر، قابل پیش بینی بود که هکرها در پروژه های جدید از روش های قدیمی خود فاصله گرفته و برنامه های نوین تندر بدافزارهای جدید استفاده کنند.
برای طراحی لوگوی این باج افزار از طرح ققنوس استفاده شده، زیرا نام فونیکس معکوس نام انگلیسی ققنوس است. با نگاهی به تبلیغات اولیه مهاجمان این شبکه، برخی از ویژگی هایی کاملا برجسته مشاهده شده که در بدافزارهای گذشته وجود نداشته است.
مهمترین عامل در مورد فونیکس این است که این بدافزار از یک الگوریتم واحد برای رمزگذاری فایل ها استفاده نمی کند. بلکه در طراحی این بدافزار از سه الگوریتم متقارن و یک الگوریتم رمزنگاری نامتقارن استفاده شده است. با این حال، انجام این عمل به کندی صورت میگیرد و مشخص نیست که چرا تیم توسعه دهنده از چنین الگوریتم هایی استفاده کرده است.
نسخه اولیه این بدافزار، یک ایمیل خصوصی برای همکاران خود ارائه می کند تا بتواند با قربانیان ارتباط برقرار کند؛ اما به نظرمی رسد امروزه استفاده از این روش، فاقد کارایی باشد. به همین منظور زمانی که یک شرکت وابسته به این مجموعه اضافه شود، حساب های Protonmail برای او ارسال خواهد شد.

چه چیزی فونیکس را از بدافزارهای مشابه متمایز می‌ کند؟

در ادامه مسیر بررسی سوابق شبکه توزیع باج افزار فونیکس با این امر مواجه شدیم که فونیکس روال عادی اغلب بدافزارها را انجام نمی دهد. اغلب بدافزارها برای پیشگیری از گسترش خود، از قربانیان درخواست باج می کنند اما فونیکس این عمل را انجام نمی دهد. بلکه نحوه کسب درآمد فونیکس به این صورت است، هر یک از شرکت های وابسته می تواند برای قربانی ایمیل ارسال کرده و یک کپی از کد رمزنگاری را دریافت کند. هنگامی که قربانی کد را رمزگذاری کرد، شرکت های وابسته باید سهم خود برای دریافت کلید رمزگشایی را به شبکه فونیکس بپردازند.

در نهایت، می توان چنین گفت که قوانین موجود در باج افزار فونیکس با نمونه های مشابه متفاوت است. در این شبکه سعی شده از مواردی که سایر فعالان در حملات سایبری برای دریافت باج استفاده می کنند، دوری شود. اغلب شرکت های فعال در حوزه بدافزار برای اینکه دولت ها مانع فعالیت آن ها نشوند، از آلوده شدن سیستم های دولتی و CIS جلوگیری می کنند؛ اما بازیگران پشت پرده فونیکس برای پیشگیری از این خطا راه مناسبی انتخاب نکرده اند، پس بهتر است سیستم های دولتی با مشاهده چنین بدافزاری سیستم خود را خاموش کنند.
با توجه به روش های اعمال شده برای فعالیت و کسب درآمد فونیکس، اغلب منتقدان فعال در این حوزه بر این باورند که سرور اصلی این بدافزار باید در کشور ایران یا کشوری مشابه با آن فعال باشد؛ اما بررسی سوابق شبکه توزیع باج افزار فونیکس نشان می دهد که این گروه هنوز تاثیر زیادی نداشته است؛ زیرا استفاده از این بدافزار دشوار است. رمزگشایی آن به کندی انجام می شود.

فرآیند رمزگشایی فونیکس بسیار پیچیده است. به همین دلیل، شرکت های وابسته موظف هستند زمان زیادی به منظور ارسال پیام برای قربانیان و سپس اپراتورهای باج افزار به منشور دریافت کلید رمزگشایی صرف کنند؛ زیرا طراحی فونیکس به گونه ای است که کلید رمزگشایی هر دستگاه اختصاصی و منحصر به فرد است.
روند انجام پروژه فونیکس می تواند برای انجام حملات باج خواهی به شرکت های بزرگ دردسرساز باشد. همه این نکات منفی موجب شده تا شرکت های وابسته به فونیکس به دنبال راه دیگری برای دریافت باج باشند؛ زیرا بررسی یک نمونه از روش های بکار رفته در باج خواهی فونیکس نشان می دهند زبان نوشتن اعمال شده در این شبکه، بین هکرها و بدافزارهای باج خواه رایج نیست.
اما به نظر می رسد که توسعه دهندگان بدافزار فونیکس با تحقیق و توسعه باج افزار کاملا آشنا هستند، زیرا در حین فرایند رمزگذاری، یک فایل متنی با چشمک زن ID بدافزار را حذف می کند. از ماه ژوئیه سال 2020، بازیگران پشت پرده فونیکس و زیرساخت های پشتیبانی کننده از عملیات های این شبکه به روز شده است؛ و در اکتبر 202 آخرین نسخه این باج افزار منتشر شد.
a

تکامل بعدی در بدافزار فونیکس

در ادامه توضیح سوابق شبکه توزیع باج افزار فونیکس باید به موردی که در آخرین نسخه این بدافزار وجود دارد اشاره کنیم. در تصویری که تالار گفتمان جرایم سایبری از این بدافزار بدست آمده، داشبوردی نشان داده شده که برای شرکت ها و افراد وابسته امکان مشاهده سیستم های آلوده و نحوه کسب درآمد کمپین فراهم شده است. بعلاوه، در این نسخه لیستی از سیستم های آلوده با جزئیات کامل در اختیار کاربر قرار می گیرد.
نکته جالب توجه در تصویر به دست آمده این است که دو آلودگی فعال در روسیه و ایران نشان داده شده که قوانین این شبکه را نقض کرده اند. تصاویر به دست آمده حاکی از افزایش ویژگی های این شبکه در ماه های آینده است؛ که نشان دهنده تداوم و توسعه فعالیت شبکه فونیکس است. علاوه بر این، در نسخه جدید، یک اسکنر درون شبکه ای وجود داشته و سرعت رمزگذاری بهبود یافته است؛ اما تاکنون، هیچ ارسال عمومی از این نسخه در دست نیست که بتوان ادعاهای بین شده را تایید کرد.

سخن پایانی

بدافزارها برای کسب درآمدهای میلیونی به هک و سرقت اطلاعات کاربران وابسته هستند. در اغلب موارد ارسال ایمیل مقدمات لازم برای دسترسی این بدافزارهای به سیستم های شخصی و دولتی را فراهم می کند؛ اما همان طور که در بررسی سوابق شبکه توزیع باج افزار فونیکس اشاره کردیم، این شبکه از روش های مختلف برای درخواست باج و هک اطلاعات استفاده می کند. مهمترین مورد، عدم استفاده از الگوریتم واحد است؛ زیرا فونیکس در شبکه خود از سه الگوریتم متقارن و یک الگوریتم نامتقارن برای رمزگذاری استفاده می کند.
استفاده از چهار الگوریتم به صورت همزمان سبب کند شدن فرایند رمزگذاری شده است. به همین دلیل، فونیکس سعی کرده در نسخهجدید خود که در ماه اکتبر 202 عرضه نموده، سرعت فرآیند رمزگذاری و دریافت کلید رمزگشایی را بهبود ببخشد. نکته دیگری که در مورد شبکه فونیکس جالب توجه است، فرآیند دریافت کلید رمزگشایی است. شرکت های وابسته برای اینکه بتوانند از رمزگذاری قربانیان سود دریافت کنند باید کلید رمزگشایی را از اپراتور اصلی دریافت نمایند. کلیدهای رمزگشایی این شبکه دارای عملکرد اختصاصی بوده، یعنی باید برای هر قربانی کلید مخصوص و منحصر بفرد استفاده شود.