Snatch

محققان امنیت سایبری نوع جدیدی از باج افزار Snatch را مشاهده کرده‌اند که ابتدا رایانه‌های داری ویندوز و آلوده‌شده را راه‌اندازی مجدد کرده و در حالت Safe mode فایل‌های قربانیان را رمزگذاری می‌کند تا از شناسایی شدن توسط آنتی‌ویروس جلوگیری کند.

برخلاف دژ افزارهای سنتی، باج‌گیر افزار جدید Snatch انتخاب می‌کند که در حالت Safe Mode اجرا شود زیرا در حالت تشخیصی(۱)، سیستم‌عامل ویندوز با حداقل مجموعه‌ای از درایورها و سرویس‌ها بدون بارگذاری بیشتر برنامه‌های startup شخص ثالث ازجمله نرم‌افزار آنتی‌ویروس آغاز به کار می‌کند.

Snatch حداقل از تابستان سال ۲۰۱۸ فعال بوده است، اما محققان SophosLabs وقتی حملات سایبری اخیر علیه اشخاص مختلف را بررسی کردند متوجه این موضوع شدند که کار در حالت Safe Mode به‌تازگی به قابلیت‌های این دژافزار اضافه شده است.

محققان دراین‌باره می‌گویند[۱]: “محققان SophosLabs در حال تحقیق در مورد یک سری از حملات باج‌گیر افزاری بودند که در آن باج‌گیر افزار موردنظر دستگاه دارای ویندوز را مجبور به راه‌اندازی مجدد در حالتSafe Mode و قبل از شروع فرآیند رمزگذاری می‌کند.”

“این باج‌گیر افزار که خود را Snatch نامیده است، خود را به‌عنوان خدماتی موسوم به SuperBackupMan با کمک رجیستری ویندوز تنظیم می‌کند که در طی یک بوت Safe Mode اجرا خواهد شد.”

“وقتی رایانه بعد از راه‌اندازی مجدد دوباره راه‌اندازی شد، این بار در حالت Safe Mode، این دژافزار از یک جزء ویندوز به نام net.exe برای متوقف کردن سرویس SuperBackupMan استفاده می‌کند و سپس با استفاده از جزء ویندوز vssadmin.exe همه Volume Shadow Copy ها را حذف می‌کند که از بازیابی فایل‌های رمزگذاری شده توسط این باج‌گیر افزار جلوگیری کند[۲].”

آنچه Snatch را از دیگر باج‌گیر افزارها متفاوت و خطرناک می‌کند این است که علاوه بر یک باج‌گیر افزار، یک ابزار سرقت داده‌ها نیز هست. Snatch شامل یک ماژول پیشرفته سرقت داده‌ها است و به مهاجمان این امکان را می‌دهد که مقدار زیادی از اطلاعات سازمان‌های مورد هدف را بدزدند.

اگرچه Snatch در Go نوشته ‌شده است که یک زبان برنامه‌نویسی است که برای توسعه برنامه‌های cross-platform شناخته‌شده است، نویسندگان این باج‌گیر افزار را فقط برای اجرا روی پلت فرم ویندوز طراحی کرده‌اند.

محققان دراین‌باره می‌گویند: “Snatch می‌تواند روی رایج‌ترین نسخه‌های ویندوز یعنی از نسخه ۷ تا ۱۰ و در نسخه‌های ۳۲ و ۶۴ بیتی اجرا شود. نمونه‌هایی که ما دیدیم نیز با بسته‌بندی منبع باز UPX بسته شده است تا محتوای آن‌ها را دچار مشکل(۲) کند.”

علاوه بر این، مهاجمان پشت باج‌گیر افزار Snatch نیز فرصت‌های همکاری را به سایر مجرمان سایبری و کارمندان سرکش که دارای اعتبار و در پشتی در سازمان‌های بزرگ هستند پیشنهاد می‌دهند و می‌توانند از آن برای پیاده‌سازی این باج‌گیر افزار بهره‌برداری کنند.

همان‌طور که در تصویر زیر که از یک forum زیرزمینی گرفته شده است می‌بینید، یکی از اعضای این گروه پیشنهادی با عنوان “به دنبال شرکایی با دسترسی به تزریق RDP\VNC\TeamViewer\WebShell\SQL  در شبکه‌های شرکت‌ها، فروشگاه‌ها و سایر شرکت‌ها برای پیوستن به گروه خود هستیم.” ارسال کرده است.

با استفاده از گواهینامه‌های brute-forced شده یا دزدیده‌شده، مهاجمان ابتدا به شبکه داخلی یک شرکت دسترسی پیدا می‌کنند و سپس چندین مدیر سیستم مجاز و ابزار تست نفوذ را اجرا می‌کنند تا دستگاه ها را در همان شبکه و بدون بالا بردن پرچم قرمز به خطر بی اندازند.

محققان دراین‌باره می‌گویند: “ما همچنین طیف وسیعی از ابزارهای قانونی دیگر را پیدا کردیم که توسط مجرمان به کار گرفته شده و روی دستگاه‌های درون شبکه مورد هدف نصب شده‌اند، ازجمله آن‌ها می‌توان به Process Hacker، IObit Uninstaller ، PowerTool و PsExec اشاره کرد. مهاجمان به‌طورمعمول از آن‌ها استفاده می‌کنند تا سعی کنند محصولات آنتی‌ویروس را غیرفعال کنند.”

Coveware شرکتی که در مذاکرات باج‌خواهی بین مهاجمان و قربانیان باج‌گیر افزار تخصص دارد به Sophos گفت که آن‌ها با مجرمان Snatch “در ۱۲ نوبت بین ژوئیه و اکتبر ۲۰۱۹ به نمایندگی از مشتریان خود” مذاکره کرده‌اند و باج‌های پرداختی بین ۲۰۰۰ تا ۳۵۰۰۰ دلار در بیت کوین انجام ‌شده است.

برای جلوگیری از حملات باج‌گیر افزار، به سازمان‌ها توصیه می‌شود که سرویس‌های حیاتی و درگاه‌های ایمن خود را در معرض اینترنت عمومی قرار ندهند و در صورت لزوم آن‌ها را با استفاده از رمز عبور قوی با احراز هویت چندمرحله‌ای ایمن کنند.

منابع

[۱] https://news.sophos.com/en-us/2019/12/09/snatch-ransomware-reboots-pcs-into-safe-mode-to-bypass-protection

[۲] https://player.vimeo.com/video/378363798

[۳] https://thehackernews.com/2019/12/snatch-ransomware-safe-mode.html


(۱) diagnostic
(۲) obfuscate