نوع جدیدی از باج افزارها یک روش نگران کننده اما تا کنون به ندرت مورد استفاده قرار می دهند تا داده ها را در یک محیط هدف رمزگذاری کنند.
به گفته محققان Heimdal Security ، این بدافزار جدید که “DeepBlueMagic” نامیده می شود ، به جای رمزگذاری فایل ها در سیستم های نقطه پایانی مانند اکثر خانواده های باج افزار ، درایوهای مختلف دیسک را روی سرورهای یک سازمان هدف قرار می دهد.
این بدافزار با استفاده از یک ابزار رمزگذاری شخص ثالث به نام BestCrypt Volume Encryption from Jetico برای شروع رمزگذاری بر روی همه درایوها-به جز درایو اصلی سیستم (“C: “)-در سیستم آلوده ویندوز سرور 2012 R2 مشاهده شد.
Heimdal ابزار رمزگذاری را به همراه یک فایل نجات (rizgar.rsc) که نرم افزار Jetico معمولاً از آن برای بازیابی پارتیشن های آسیب دیده استفاده می کند ، در درایو سیستم دستگاه آلوده پیدا کرد. در این مورد ، با این حال ، پرونده نجات نیز رمزگذاری شده است و بر اساس گزارش جدید Heimdal برای باز کردن آن نیاز به رمز عبور است.
فروشنده امنیتی نمی تواند نحوه دسترسی مهاجمان به سیستم آسیب دیده را تعیین کند ، همچنین نمی تواند نمونه ای از فایل اجرایی اصلی را بدست آورد زیرا باج افزار خود را از سیستم حذف کرده است.
تحقیقات Heimdal نشان داد که DeepBlueMagic فرآیند رمزگذاری را بر روی درایو D: سیستم آلوده آغاز کرده است و تقریباً بلافاصله پس از راه اندازی این فرایند را متوقف کرده است. این باعث شد تا درایو تا حدی رمزگذاری شود و به یک پارتیشن RAW تبدیل شود – یعنی اساساً پارتیشنی که ساختار سیستم فایل خراب شده است و بنابراین توسط سیستم تشخیص داده نمی شود.
Heimdal در گزارش خود می گوید: “هر گونه تلاش برای دسترسی به سیستم عامل ویندوز باعث می شود که کاربر قالب بندی دیسک را بپذیرد زیرا درایو پس از رمزگذاری خراب به نظر می رسد.” معمولاً از فایل نجات که نرم افزار رمزگذاری Jetico از آن استفاده می کند می توان برای بازگرداندن درایو تا حدی رمزگذاری شده استفاده کرد ، اما در این مورد این امکان وجود نداشت زیرا فایل نجات نیز رمزگذاری شده بود.
همانطور که در مورد بسیاری از انواع باج افزارها این روزها وجود دارد ، DeepBlueMagic طوری طراحی شده است که هرگونه ابزار تشخیص تهدید مبتنی بر رفتار را که ممکن است در سرور مورد نظر وجود داشته باشد-قبل از اینکه بدافزار رمزگذاری را شروع کند ، غیرفعال کند. رویکرد آن برای انجام این کار متوقف کردن تمام خدمات شخص ثالث ویندوز روی سیستم است. پس از اتمام رمزگذاری بدافزار ، نسخه Windows Volume Shadow را حذف می کند تا بازیابی درایوهای رمزگذاری شده غیرممکن شود. به عنوان آخرین شکوفایی ، بدافزاری که Heimdal مورد بررسی قرار داد ، از حضور خود در سرور ویندوز استفاده کرد و سعی کرد نرم افزار رمزگذاری BitLocker مایکروسافت را در تمام نقاط نهایی در دایرکتوری فعال سازمان قربانی فعال کند.
هایمدال بلافاصله به درخواست Dark Reading پاسخ نداد و خواستار توضیح شد که چرا مهاجمان تقریباً بلافاصله پس از راه اندازی رمزگذاری و سایر س questionsالات آن را خاموش کرده اند. این شرکت می گوید که تحلیلگران بدافزارهایش توانستند فایل های سیستم آلوده را با استفاده از یک ابزار رمزگشایی رایگان در دسترس از CGSecurity.org بازیابی کنند.
یک تاکتیک بسیار مثر
Dirk Schrader ، معاون امنیت جهانی تحقیقات امنیتی در New Net Technologies متعلق به Netwrix ، تاکتیک های مورد استفاده DeepBlueMagic را به عنوان افزودن چین و چروک جدید به حملات باج افزار توصیف می کند. شریدر می گوید: “رمزگذاری مبتنی بر فایل در طول فرآیند کشف می شود ، به ویژه هنگامی که تعداد بیشتری از پرونده ها باید رمزگذاری شوند.” “رمزگذاری حجم یک رویکرد متفاوت و همه کاره در اینجا است زیرا می تواند به راحتی در سطوح RAID گسترده شود و جنبه های فیزیکی سیستم RAID را نادیده بگیرد.”
او می گوید این رویکرد می تواند به تسریع عفونت کمک کند ، به ویژه با توجه به توانایی DeepBlueMagic در توقف همه خدمات شخص ثالث بر روی دستگاه ویندوز. شریدر می گوید این احتمال وجود دارد که آنچه هایمدال با آن روبرو شد ، آزمایش اولیه یک رویکرد جدید باشد. او هشدار می دهد: “در صورت موفقیت آمیز بودن ، تنظیم و کامل می شود تا قدرتمندتر شود.”
Alec Alvarado ، سرپرست تیم اطلاعات تهدید در Digital Shadows می گوید: رمزگذاری در سطح دیسک جدید نیست اما کمتر از رمزگذاری های سطح فایل استفاده می شود. این روش م becauseثر است زیرا خود سیستم تقریباً بی فایده و غیرقابل دسترسی است. او می گوید در حالی که این روزها بسیاری از گروه های باج افزار فایل هایی را که می خواهند رمزگذاری کنند ، انتخاب می کنند ، اما رمزگذاری در سطح دیسک دسترسی به همه چیز در یک سیستم را حذف می کند.
آلوارادو می گوید: “با توجه به استفاده از نرم افزارهای رمزگذاری دیسک قانونی که در دسترس عموم است ، مهاجمان ممکن است این رویکرد را صرفاً به این دلیل که به توسعه کمتری نیاز دارد ، اتخاذ کرده باشند.” او به گروه باج افزار Mamba-لباسی که حداقل از سال 2016 کار می کند-اشاره می کند که از رویکرد رمزگذاری مشابه در سطح دیسک در حملات اوایل سال جاری استفاده می کند. همانند اپراتورهای DeepBlueMagic ، گروه Mamba نیز از یک ابزار رمزگذاری عمومی به نام DiskCryptor برای رمزگذاری داده ها استفاده کرد.
آلوارادو خاطرنشان می کند: “رمزگذاری در سطح دیسک همراه با قابلیت حذف کپی های سایه ای بازیابی یک سیستم تحت تأثیر را بدون کلید رمزگشایی بسیار دشوار می کند.” “در این مورد خاص ، به نظر می رسد که یک ابزار رمزگشایی به طور عمومی برای باج افزار DeepBlueMagic موجود است.”