باج‌ افزار Phoenix

مقدمه

در ۱۰ ژوئیه ۲۰۲۰، کاربری به نام “PhoenixCrYptEr” تبلیغی را در انجمن ‌های جرایم سایبری دارک ‌وب برای یک باج ‌افزار به عنوان سرویس (RaaS) جدید به نام Phoenix (Phoenix) پست کرد. در این مقاله قصد داریم این باج‌ افزار و مراحل تکامل آن را بررسی کنیم.

چرا باج ‌افزار Phoenix خطرناک بود

باج ‌افزار Phoenix با نام Xinof نیز شناخته می ‌شد. مجرمان سایبری از هر دو نام استفاده کردند و پسوند فایل ‌های رمزگذاری ‌شده را به xinof. یا Phoenix. تغییر دادند. تحلیل‌ گران این باج ‌افزار را نسبتاً تهاجمی توصیف کردند: علاوه بر رمزگذاری فایل‌ ها در سیستم‌ های هدف، بدافزار سیستم ‌عامل را دستکاری می ‌کرد تا از تلاش‌ ها برای حذف آن جلوگیری کند. همچنین عملاً تمام فایل‌ های موجود در رایانه مورد نظر را رمزگذاری می ‌کرد و تنها آن‌ هایی را که برای سیستم عامل حیاتی هستند دست ‌نخورده باقی می‌ گذاشت.

نویسندگان بدافزار Phoenix را تحت یک مدل باج ‌افزار به‌عنوان سرویس (RaaS) اجاره کرده و به مشتریان اجازه می‌ دادند تا حملات واقعی را انجام دهند. از تابستان ۲۰۲۰، انجمن ‌های هکرها شاهد تبلیغات سنگینی برای بدافزار بودند. اپراتورها در ابتدا استفاده رایگان از این ابزار را دریافت کردند که به Phoenix مزیت رقابتی داد. نویسندگان تنها درصدی از باج جمع‌آوری‌ شده را گرفتند.

در نتیجه، کمپین‌ های مختلف غیرمرتبط معمولاً از طریق پست‌ های اسپم به گسترش بدافزار کمک کردند و در نتیجه، Phoenix هم به کاربران و هم شرکت‌ ها ضربه زد. خوشبختانه، این باج‌افزار محبوبیت گسترده ‌ای به دست نیاورد، بنابراین قربانیان نسبتا کم بودند.

زنجیره تامین باج‌ افزار به عنوان سرویس

ابتدا، بیایید نگاهی به زنجیره تامین باج ‌افزار به عنوان سرویس (Ransomware-as-a-Service) بیاندازیم که طی دو سال گذشته در حال توسعه بوده است.

به طور معمول، چندین گروه از عوامل درگیر حمله به یک سازمان هستند. همه چیز با تلاش یک تیم برای دسترسی به یک سیستم شروع می‌ شود. این عوامل سعی خواهند کرد دسترسی خود را بفروشند، به عنوان مثال دسترسی از راه دور دسکتاپ یا اعتبار VPN، به یک کارگزار دسترسی اولیه. این کارگزار تلاش خواهد کرد تا دسترسی آن ‌ها را به یک نگهدارنده معنادارتر برای قربانی تبدیل کند، به عنوان مثال نصب Cobalt Strike با دسترسی سطح بالا. سپس آن ‌ها دسترسی سطح بالای خود را به Ransomware Affiliates می ‌فروشند. آن ‌ها افرادی هستند که اغلب در ترکیب با استخراج داده‌ ها برای اهداف اخاذی، باج ‌افزار را «فرنچایز» کرده، سیستم ‌ها را آلوده می‌ کنند و باج را از قربانیان می‌ گیرند. آن‌ ها در تماس نزدیک با اپراتورها و توسعه‌ دهندگان باج ‌افزار خواهند بود که پس از پرداخت باج توسط قربانی، سهمی از عواید دریافت می ‌کنند.

اپراتورهای باج ‌افزار اغلب زیرساختی را برای برخورد با قربانیان و همچنین رسیدگی به پرداخت باج و انتشار اطلاعات درز می ‌دهند. ساده‌ سازی نقش‌ های مختلف در یک حمله و پشتیبانی فنی از سوی توسعه ‌دهندگان بدافزار، آن را به یک کسب و کار پرسود برای شرکت‌ های وابسته و همچنین همه افراد درگیر در زنجیره تامین تبدیل می ‌کند. طبق آمار، پرداخت ‌های باج در سال ۲۰۱۹ برای شرکت ‌ها هزینه زیادی داشت: «با متوسط ​​تقاضای باج در حدود ۸۴ هزار دلار و تقریباً یک سوم شرکت ‌ها که این هزینه را پرداخت می ‌کنند، Emsisoft حداقل هزینه‌ های جهانی را ۳/۶ میلیارد دلار و رقم بالاتر را ۲۵ دلار تخمین زد.»

سال ۲۰۲۰ نیز رکوردی برای باج‌ افزار بوده است زیرا در این سال میانگین پرداخت باج به طور متوسط ​​به ۲۳۳ هزار دلار افزایش یافت. عوامل پشت Phoenix RaaS، بدون شک به دنبال دستیابی به بخشی از این ثروت عظیم بوده ‌اند.

باج ‌افزار به عنوان سرویس فونیکس

عوامل پشت این باج‌افزار ادعا می‌ کنند که Phoenix یک توسعه منحصر به فرد است که با C++ نوشته شده و از ابتدا طراحی شده است. با این حال، با نگاهی به کد منبع فایل اجرایی که رمزگذاری را انجام می ‌دهد، امضاهای متمایز آن را به باج‌ افزار آفرودیت مرتبط می‌ کنند، یک شاخه از بدافزار LockerGoGa که به Lockbit تکامل یافته است. غیر معمول نیست که توسعه‌ دهندگان باج ‌افزار از پروژه‌ های قبلی خود جدا شوند و نوع جدیدی از بدافزار ایجاد کنند.

لوگوی آن ‌ها ققنوس و بنا به دلایلی نام باج ‌افزار در عکس (Xinof) است. خود عوامل آن را باج‌افزار PhoenixCrypter (XINOF R2) می ‌نامند.

با نگاهی به تبلیغات اولیه مهاجمان، برخی از ویژگی ‌های کلیدی خودنمایی می‌ کنند که در خانواده‌ های دیگر باج‌ افزارها دیده نمی‌ شوند.

این باج‌ افزار از یک الگوریتم واحد برای رمزگذاری فایل ‌ها استفاده نمی ‌کند، بلکه از ۳ الگوریتم متقارن (Salsa20، AES و ChaCha) و ۱ الگوریتم رمزگذاری نامتقارن (RSA) به طور هم‌زمان استفاده می‌ کند. با این حال، چنین کاری سرعت را بسیار کُند می ‌کند، و مشخص نیست که چرا آن ‌ها تصمیم به انجام این کار گرفته ‌اند.

نسخه اولیه، یک سرور ایمیل خصوصی را به شرکت‌ های وابسته در Phoenix[.]email ارائه می‌کرد تا با قربانیان خود ارتباط برقرار کنند. به نظر می‌رسد این دیگر عملیاتی نیست. در عوض، حساب‌ های پروتون میل توسط اپراتورها هنگام پیوستن یک شرکت وابسته به عملیات ارائه می ‌شوند.

اکثر اپراتورهای RaaS برای شروع انتشار بدافزار از شرکت ‌های وابسته خود پیش ‌پرداخت می ‌خواهند. Phoenix این کار را نمی‌ کند. هرکسی می‌ تواند برای آن ‌ها ایمیلی ارسال کرده و یک کپی از رمزارز دریافت کند. هنگامی که قربانی رمزگذاری شد، شرکت‌ های وابسته باید سهم خود (حدود ۱۰ تا ۲۵ درصد) را به اپراتورهای Phoenix بپردازند تا کلید رمزگشایی را دریافت کنند.

علاوه بر این، رمزگذاری برخی از عملکردهای محیط ویندوز را همانطور که در تبلیغات ذکر شده است حذف کرده و تغییر می‌ دهد.

در نهایت، قوانین استفاده از باج‌ افزار کمی متفاوت از آن چیزی است که دیگر گروه ‌های جرایم سایبری از شرکت‌ های وابسته درخواست می ‌کنند. اکثر گروه‌ها (و بدافزار آن ‌ها) به طور فعال از آلوده شدن کشورها و سیستم ‌های CIS جلوگیری می ‌کنند، به عنوان مثال برای جلوگیری از اجرای قانون کشورهایی که در آن ‌ها زندگی می ‌کنند برای سرکوب عملیات آن‌ها. عوامل پشتیبان Phoenix یک Failsafe ایجاد نکردند که در صورت تشخیص نوع اشتباه زبان سیستم، بدافزار را خاموش کند. تبلیغات آن‌ ها برای شرکت ‌های وابسته به اندازه کافی واضح است:

*هیچ سیستم فارسی را آلوده نکنید، در صورت تخلف متخلف اخراج خواهد شد

با توجه به روند اپراتورهای باج‌ افزار برای اجتناب از کشور مبدا خود، به نظر می‌ رسد که آن‌ ها به احتمال زیاد در ایران یا کشورهای مرتبط زندگی می ‌کنند.

این گروه تاثیر زیادی نداشته است. بر اساس گزارش‌ های مختلف، استفاده از بدافزار دست و پا گیر بوده، رمزگذاری کُند و فرآیند رمزگشایی پیچیده است. شرکت ‌های وابسته باید زمان زیادی را برای ارسال ایمیل بین قربانیان خود و اپراتورهای باج‌افزار صرف کنند تا کلیدهای رمزگشایی را برای هر سیستم آلوده دریافت نمایند، زیرا کلید رمزگشایی برای هر دستگاه منحصر به فرد است. به خصوص در محیط های شرکت‌ های بزرگ، این می‌ تواند به سرعت برای همه افراد درگیر دردسر شود.

این نکات منفی می ‌تواند دلیلی باشد برای اینکه شرکت‌ های وابسته به برنامه‌ های RaaS به جای دیگری نگاه کنند. با نگاهی به پست‌ های عمومی در Any.run، یک نمونه از باج‌افزار Phoenix را می‌ توان یافت که نشان می ‌دهد این باج‌افزار چندان رایج نبوده است.

از ژوئیه ۲۰۲۰، عوامل پشت این بدافزار چندین نسخه از باج ‌افزار و زیرساخت ‌های پشتیبانی از عملیات آن‌ ها را به‌ روزرسانی و منتشر کردند. از اکتبر ۲۰۲۰، باج ‌افزار به نسخه ۴.۴.۱ رسید. آخرین نسخه جایی است که همه چیز جالب می ‌شود.

تکامل ‌های بعدی

در ۱۳ اکتبر ۲۰۲۰ یک اسکرین ‌شات در یک انجمن جرایم سایبری با یادداشتی از گروه پشتیبان Phoenix مبنی بر انتشار نسخه ۴.۴.۱ منتشر شد. اسکرین ‌شات وجود داشبوردی را نشان می ‌داد که در آن شرکت ‌های وابسته می‌ توانستند برای مشاهده سیستم‌ های آلوده و درآمدهای کمپین‌ هایشان وارد شوند.

علاوه بر این، لیستی از سیستم ‌های آلوده با جزئیات میزبان ‌های آلوده به کاربران ارائه شد.

نکته جالب توجه این است که اسکرین ‌شات دو حمله فعال در روسیه و ایران را نشان می ‌داد که ظاهرا قوانین خود را زیر پا می ‌گذارند.

این نسخه همچنین شامل یک اسکنر شبکه داخلی و همچنین سرعت رمزگذاری “بهبودیافته” بود.

جرایم سایبری

در ژانویه ۲۰۲۱ گروه Phoenix به صورت رسمی در توییتر پایان فعالیت خود را اعلام نمود. این گروه در اطلاعیه خود عنوان کرد که همه اعضا با تصمیم پایان دادن به عملیات موافق نیستند. به عنوان مثال، مدیر کانال تلگرام آن در تلاش است تا کد منبع باج‌افزار و سایر داده ‌ها را بفروشد. با این حال، این کد واقعی نیست (حداقل، طبق گفته حساب توییتر گروه Phoenix)، بنابراین اساساً یک کلاهبرداری با هدف خریداران بدافزار است. اگرچه تنها قربانیان بالقوه در اینجا مجرمان سایبری دیگر هستند، اما کلاهبرداری همچنان کلاهبرداری است.

انگیزه عوامل فونیکس

مدیر پروژه PhoenixCrypter گفت که او هرگز قصد نداشت در فعالیت ‌های مجرمانه شرکت کند، اما رکود اقتصادی او را به ایجاد باج افزار سوق داد. او بعداً کد منبع را حذف کرد و با استناد به عذاب وجدان، از قربانیان عذرخواهی و کلید اصلی را منتشر نمود. او گفت که در ادامه قصد دارد از دانش خود در مورد تجزیه و تحلیل بدافزار استفاده بهتری بکند و امیدوار است همکارانش در این راه به او بپیوندند.