باج‌گیر افزار Bad Rabbit از بهره‌بردارِ افشاشده‌ی NSA به نام EternalRomance به‌منظور گسترش یافتن استفاده می‌کند.

Bad Rabbit

یک کرمِ جدید از نوعِ باج‌گیر افزار، که به نام Bad Rabbit شناخته می‌شود[۱]، بیش از ۲۰۰ سازمان بزرگ را در این هفته و به‌طور عمده در روسیه و اوکراین هدف قرار داده است. در اوایل ماه آوریل ۲۰۱۷، این باج‌گیر افزار از بهره‌بردارِ دزدیده‌شده از NSA که توسط گروه Shadow Brokers به سرقت رفته بود، استفاده کرد تا بدین طریق در میان شبکه‌های قربانیان گسترش یابد.

در گزارش‌های منتشرشده‌ی اولیه در مورد این باج‌گیر افزار عنوان شده بود که این باج‌گیر افزار از هیچ‌گونه بهره‌بردار توسعه‌یافته توسط سازمان‌های امنیتی ملی (مانند EternalRomance یا EternalBlue) استفاده نکرده است، اما گزارش اخیرِ منتشرشده توسط گروه Talos در سیسکو فاش کرده است که باج‌گیر افزار Bad Rabbit از بهره‌بردار EternalRomance استفاده کرده است.

باج‌گیر افزار NotPetya که با نام‌های ExPetr و Nyetya نیز شناخته می‌شود[۲] و هزاران سیستم را در ماه ژوئن ۲۰۱۷ آلوده کرده بود نیز از بهره‌بردار EternalRomance و همچنین بهره‌بردار EternalBlue استفاده کرده بود که در باج‌گیر افزار WannaCry نیز مورداستفاده قرار گرفته بودند[۳].

باج‌گیر افزار Bad Rabbit از بهره‌بردار EternalRomance SMB RCE استفاده می‌کند.

باج‌گیر افزار Bad Rabbit از EternalBlue استفاده نمی‌کند اما از بهره‌بردار EternalRomance RCE استفاده می‌کند تا خود را در سراسر یک شبکه بگستراند.

مایکروسافت[۴] و [۵]F-Secure نیز وجود این بهره‌بردار را در باج‌گیر افزار Bad Rabbit تأیید کردند.

EternalRomance یکی از ابزارهای تهاجمی است که ادعا شده متعلق به گروه Equation در NSA است و توسط یک گروه هکری بدنام که خود را Shadow Brokers نامیده‌اند در ماه آوریل سال ۲۰۱۷ در اختیار عموم قرار گرفته است.

EternalRomance یک بهره‌بردار اجرای کد از راه دور است که از یک آسیب‌پذیری به نام CVE-2017-0145 در SMB سوءاستفاده می‌کند که یک پروتکل برای انتقال داده بین کامپیوترهای دارای سیستم‌عامل ویندوز است که از این طریق سیستم امنیتیِ قرار داشته بر روی ارتباطات اشتراک‌گذاری فایل‌ها را دور زده و درنتیجه قادر به اجرای کد از راه دور بر روی سرورها و کلاینت‌های دارای سیستم‌عامل ویندوز خواهد بود.

به همراه بهره‌بردارهای متعلق به NSA مانند EternalChampion ،EternalBlue و EternalSynergy که توسط گروه Shadow Brokers منتشر شدند، آسیب‌پذیری EternalRomance نیز در ماه مارس ۲۰۱۷ و توسط مایکروسافت با انتشار بسته امنیتی MS17-010 وصله شد[۶].

گزارش شده است که باج‌گیر افزار Bad Rabbit از طریق حملات drive-by download و توسط سایت‌های روسی و در زمینه رسانه، گسترش یافته است. این باج‌گیر افزار از نصب کننده Adobe Flash Player به‌منظور گول زدن قربانیان استفاده می‌کند تا به‌طور ناخواسته بدافزار موردنظر را نصب کنند. این باج‌گیر افزار پس از آلوده کردن سیستم درخواست ۰٫۰۵ بیت کوین (تقریباً معادل ۲۸۵ دلار) از قربانیان می‌کند تا فایل‌های آن‌ها را رمزگشایی کند.

چگونه باج‌گیر افزار Bad Rabbit در داخل یک شبکه گسترش می‌یابد؟

بر طبق گفته محققان، باج‌گیر افزار Bad Rabbit در ابتدا شبکه داخلی را برای اشتراک‌های SMB باز جستجو می‌کند و یک لیست hardcode شده را از اعتبارهای معمول[۷] مورد استفاده قرار می‌دهد تا بدافزار مربوطه را نصب کرده و همچنین از ابزار بهره‌برداری Mimikatz به‌منظور استخراج گواهی‌نامه‌ها از سیستم‌های آلوده استفاده می‌کند[۸].

بر طبق گفته [۹]EndGame، باج‌گیر افزار Bad Rabbit همچنین می‌تواند از رابط اسکریپت WMIC در تلاش برای اجرای کد بر روی سیستم‌های دارای سیستم‌عامل ویندوز بر روی شبکه و از راه دور بهره‌برداری کند.

بااین‌حال، با توجه به گفته Talos در سیسکو، باج‌گیر افزار Bad Rabbit همچنین یک کد که از EternalRomance استفاده می‌کند را حمل می‌کند که اجازه می‌دهد تا مهاجمانِ از راه دور از یک کامپیوتر آلوده به اهداف دیگر و به‌طور مؤثرتری پخش شوند.

محققان Talos در این رابطه این‌گونه توضیح داده‌اند: “ما می‌توانیم نسبتاً مطمئن باشیم که BadRabbit شامل یک بهره‌بردار EternalRomance است که برای بازنویسی یک context امنیتی جلسه هسته برای راه‌اندازی سرویس‌های راه دور استفاده می‌شود، درحالی‌که Nyetya برای نصب در پشتی DoublePulsar استفاده می‌شود. هردوی این اقدامات به دلیل این واقعیت است که EternalRomance اجازه می‌دهد که مهاجم داده‌های دلخواه را در فضای حافظه کرنل بخواند یا بنویسد.”

آیا یک گروه مهاجم در پشت‌صحنه باج‌گیر افزارهای Bad Rabbit و NotPetya قرار دارند؟

ازآنجاکه هر دو باج‌گیر افزار Bad Rabbit و NotPetya از کد تجاری DiskCryptor برای رمزگذاری هارددیسک قربانی استفاده می‌کنند[۱۰] و همچنین کد wiper که می‌تواند هارددیسک‌های متصل به سیستم آلوده را پاک کند[۱۱]، محققان معتقدند که به‌احتمال‌زیاد مهاجمان پشت پرده این باج‌گیر افزارها یکسان باشند.

شرکت امنیتی روسی به نام Group IB در این مورد گفته است[۱۲]: “به‌احتمال‌زیاد همان گروهی از مهاجمان که در پشت باج‌گیر افزار Bad Rabbit در تاریخ ۲۵ اکتبر ۲۰۱۷ قرار داشتند در پشت‌صحنه ویروس NotPetya که به بخش‌های انرژی، مخابرات و مالی در اکراین در ژوئن ۲۰۱۷ خسارت وارد کرد نیز حضور داشتند. تحقیقات نشان داده است که کد باج‌گیر افزار BadRabbit از منابع NotPetya کامپایل شده است. BadRabbit دارای توابع مشابه برای محاسبه hashها، منطق توزیع شبکه و فرایند حذف logها و غیره است.”

پیش‌ازاینNotPetya به یک گروه هکریِ روسی به نام BlackEnergy و Sandworm Team ربط داده شده بود، اما ازآنجاکه BadRabbit در درجه اول روس‌ها را موردحمله قرار داده بود، تمامی محققان با فرضیات کنونی در ارتباط با تشابه سازندگان این باج‌گیر افزارها موافق نیستند.

چگونه باید از خود نسبت به حملات بدافزاری محافظت کنید؟

به‌منظور محافظت در برابر باج‌گیر افزار Bad Rabbit به کاربران توصیه می‌شود که سرویس WMI را غیرفعال کنند تا از گسترش یافتن بدافزارها در شبکه شما جلوگیری شود.

همچنین سیستم خود را به‌طور مرتب به‌روزرسانی کنید و یک آنتی‌ویروس مطمئن بر روی سیستم خود داشته باشید.

ازآنجاکه اغلب باج‌گیر افزارها از طریق پست‌های الکترونیک فیشینگ، آگهی‌های مخرب در وب‌سایت‌ها و برنامه‌های شخص ثالث پخش می‌شوند، شما باید همیشه نسبت به این موارد مراقب باشید.

مهم‌تر از همه، برای اینکه همیشه از اطلاعات ارزشمند خود به‌خوبی محافظت کنید، باید یک نسخه پشتیبان از این اطلاعات بر روی یک فضای ذخیره‌سازی خارجی که همیشه به کامپیوتر شما متصل نیست، داشته باشید.