گردانندگان باجافزار Rook اعلام کردهاند که بهواسطه نیاز مبرم به «مقدار زیادی پول» با نفوذ به شبکه سازمانها، دستگاهها را رمزگذاری کردهاند.
گردانندگان باجافزار Rook اعلام کردهاند که بهواسطه نیاز مبرم به «مقدار زیادی پول» با نفوذ به شبکه سازمانها، دستگاهها را رمزگذاری کردهاند.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، اگرچه اظهارات اولیه گردانندگان باجافزار Rook در پورتال نشت دادههای این باجافزار مضحک بود، اما گزارش نخستین قربانی این باجافزار در سایت مذکور بهوضوح نشان داد که گردانندگان Rook به دنبال سرگرمی و تفریح نیستند و هدف آنها اخاذی است.
محققان به بررسی دقیق اینگونه جدید باجافزار پرداختهاند و علاوه بر جزییات فنی و زنجیره آلودگی، شباهت آن با باجافزار Babuk را نیز آشکار کردهاند.
در حملات باجافزاری Rook، آلودگی اولیه معمولاً از طریق ایمیلهای موسوم به Phishing و یا حتی دانلود فایلهای Torrent شروعشده و از Cobalt Strike برای انتقال و انتشار کد مخرب باجافزار استفادهشده است. برای جلوگیری از شناسایی، کدهای باجافزاری با UPX یا دیگر رمزگذارها بستهبندیشدهاند. نتایج این تحقیق نشان میدهد که کدهای باجافزار Rook هنگام اجرا، پروسههای مربوط به ابزارهای امنیتی یا هر فرایندی را خاتمه میدهند که میتواند رمزگذاری را مختل کند.
محققان در ادامه عنوان کردهاند که در برخی موارد راهانداز kph.sys از Process Hacker در خاتمه پروسههایی نقش دارد که فرایند رمزگذاری را مسدود میکنند؛ اما در موارد دیگر از ابزارهای دیگری استفاده میشود. این امر احتمالاً نشاندهنده نیاز مهاجم به استفاده از درایور برای غیرفعالکردن راهکارهای امنیتی محلی در رویدادهای خاص است.
Rook همچنین از vssadmin.exe برای حذف رونوشتهای موسوم به Volume Shadow Copy استفاده میکند تا امکان بازگردانی فایلهای حذفشده یا رمزگذاری شده از طریق آنها ممکن نباشد.
این باجافزار پس از رمزگذاری فایلها، پسوند ".Rook" را به آنها اضافه کرده و سپس خود را از سیستم هک شده حذف میکند.
مهاجمان یک اطلاعیه باجگیری (Ransom note) به نام HowToRestoreYourFiles.txt در کامپیوتر آلوده شده و سیستمهای رمزگذاری شده قرار میدهند.
در اطلاعیه مهاجمان نوشته شده است که قربانی با دسترسی به وبسایت Rook Tor یا ارسال ایمیل به مهاجمان، با آنان تماس بگیرد.
مهاجمان قربانیان را تهدید میکنند که در صورت عدم پرداخت باج مطالبه شده، دادههای سرقت شده را بهصورت عمومی منتشر میکنند.
همچنین به قربانیان هشدار میدهند که در صورت مذاکره با فروشندگان محصولات امنیتی یا نهادهای قانونی، کلید خصوصی رمزگشایی فایلهای رمزگذاری شده را از بین میبرند.
بنابر اظهارات محققان، شباهتهای متعددی بین کد Rook و Babuk وجود دارد. Babuk Locker که با نام Babyk نیز شناخته میشود در قالب خدمات موسوم به «باجافزار بهعنوان سرویس» (Ransomware-as-a-Service – بهاختصار RaaS) توسعه داده شده بود. فعالیت باجافزار Babuk از ابتدای سال ۲۰۲۱ آغاز شد و گردانندگان آن، سازمانهای فعال در حوزههای مختلف را برای سرقت و رمزگذاری دادهها، هدف قرار میدادند.
در سپتامبر ۲۰۲۱ کد منبع (Source Code) باجافزار Babuk در یک تالار گفتگوی اینترنتی هکرهای روسی زبان فاش شد.
یکی از اعضای گروه Babuk مدعی بود به دلیل ابتلا به سرطانی علاجناپذیر، تصمیم به انتشار کد این باجافزار مخرب گرفته است. از آن زمان تاکنون کدهای فاش شده این باجافزار توسط گروههای مختلفی برای راهاندازی حملات باجافزاری استفاده شذه است.
با توجه به شباهتهای کد میان دو باجافزار Babuk و Rook، محققان بر این باورند که Rook از کد منبع فاش شده باجافزار Babuk استفاده میکند. Rook از فراخوانیها و توابع API مشابه که قبلاً در Babuk نیز بکار گرفته شده بود، برای بازیابی نام و وضعیت هر یک از سرویسهای در حال اجرا و خاتمه دادن به آنها استفاده میکند.
همچنین فهرست پروسهها، شمارش راهاندازهای محلی و سرویسهای متوقفشده در Windows برای هر دو باجافزار Rook و Babuk یکسان بوده و شامل پروسههای مربوط به بستر بازی محبوب Steam و سرویسگیرنده ایمیل Microsoft Office، Outlook، Mozilla Firefox و Thunderbird است.
شباهتهای دیگر بین دو باجافزار مذکور شامل نحوه حذف رونوشتهای موسوم به Volume Shadow Copy توسط رمزگذار، بهکارگیری Windows Restart Manager API برای متوقف کردن پروسهها در محصولات Microsoft Office و بستر بازی Steam است.
بااینکه هنوز خیلی زود است تا در خصوص میزان پیچیدگی حملات صورت گرفته توسط باجافزار Rook اظهارنظر شود، آنچه مسلم است این است که عواقب آلودگی توسط باجافزار یادشده بسیار شدید است و به رمزگذاری و سرقت دادهها منجر میشود.
در حال حاضر در سایت نشت داده Rook به نام دو قربانی اشارهشده است. نهم آذرماه ۱۴۰۰، گروه باجافزار Rook، نام اولین قربانی را که یک مؤسسه مالی در قزاقستان است در سایت نشت داده خود منتشر کرد. مهاجمان بیش از یکهزار گیگابایت از اطلاعات مؤسسه قزاقستانی را سرقت و فایلهای این شرکت را رمزگذاری کردند. قربانی دوم یک متخصص هوانوردی و هوافضای هندی است که نام آن نیز بهتازگی در سایت Rook اضافهشده است؛ بنابراین این باجافزار در مراحل اولیه فعالیت خوداست.
چنانچه وابستگان ماهر این باجافزار جدید به RaaS بپیوندند، Rook میتواند در آینده به تهدید بزرگی برای سازمانها تبدیل شود. این را به آسیبپذیری اخیر کشفشده در Log۴j نیز اضافه کنید که میتواند دسترسی اولیه را بدون مهارت فنی بالا برای مهاجمان ممکن کند.
به نظر میرسد تیمهای امنیتی سازمانها، سال میلادی شلوغ و پرچالشی پیشرو دارند؛ لذا ضرورت دارد راهبران امنیتی پیشگیری را سرلوحه کار خود قرار دهند و دراسرعوقت نسخههای پشتیبان از فایلها را تهیه، آسیبپذیریهای ترمیمشده را وصله و نرمافزارها و سختافزارهای مورداستفاده را بهروزرسانی کنند.
جزئیات بیشتر در خصوص باجافزار Rook در نشانی زیر قابلمطالعه است: https://www.sentinelone.com/labs/new-rook-ransomware-feeds-off-the-code-of-babuk/