Cryptoniteنسخه‌ای از یک toolkit باج‌افزار منبع باز به نام Cryptonite به دلیل «معماری و برنامه‌نویسی ضعیف» در سطح اینترنت با قابلیت‌های پاک‌کننده مشاهده شده است.

Cryptonite، برخلاف دیگر گونه‌های باج‌افزار، برای فروش در بازار سیاه مجرمان سایبری در دسترس نیست و در عوض توسط بازیگری به نام CYBERDEVILZ تا همین اواخر از طریق یک مخزن GitHub به‌صورت رایگان ارائه می‌شد[۱]. کد منبع و fork های آن از آن زمان حذف شده‌اند.

این دژافزار که به زبان پایتون نوشته شده است، از ماژول Fernet بسته رمزنگاری برای رمزگذاری فایل‌های با پسوند “.cryptn8” استفاده می‌کند[۲].

اما نمونه جدیدی[۳] که توسط Fortinet FortiGuard Labs تجزیه‌وتحلیل شده، کشف شده است که فایل‌ها را بدون هیچ گزینه‌ای برای رمزگشایی مجدد قفل می‌کند و اساساً به‌عنوان یک پاک‌کننده داده مخرب عمل می‌کند.

اما این تغییر یک اقدام عمدی از سوی عامل تهدید نیست، بلکه ناشی از عدم تضمین کیفیت است که باعث ازکارافتادن برنامه در هنگام تلاش برای نمایش یادداشت باج‌خواهی پس از تکمیل فرآیند رمزگذاری می‌شود.

Cryptonite

Gergely Revay، محقق Fortinet در گزارش روز دوشنبه ۵ دسامبر ۲۰۲۲ دراین‌باره گفت[۴]: «مشکل این نقص این است که به دلیل سادگی طراحی باج‌افزار، اگر برنامه از کار بیفتد – یا حتی بسته شود – هیچ راهی برای بازیابی فایل‌های رمزگذاری شده وجود ندارد.»

استثنایی که در طول اجرای برنامه باج‌افزار ایجاد می‌شود به این معنی است که «کلید» مورداستفاده برای رمزگذاری فایل‌ها هرگز به اپراتورها منتقل نمی‌شود و درنتیجه کاربران را از اطلاعات آن‌ها قفل می‌کند.

این یافته‌ها در برابر پس‌زمینه یک چشم‌انداز باج‌افزاری در حال تکامل است که در آن پاک‌کننده‌هایی[۵] تحت پوشش دژافزارهای رمزگذاریِ فایل به‌طور فزاینده‌ای برای بازنویسی داده‌ها بدون اجازه رمزگشایی استفاده می‌شوند.

  منابع

[۱] https://www.fortinet.com/blog/threat-research/Ransomware-Roundup-Cryptonite-Ransomware

[۲] https://cryptography.io/en/latest/fernet

[۳] https://www.virustotal.com/gui/file/3b68780719010fc195e6e4f8d1b912030259cb1cddde5a943e44da558222060f

[۴] https://www.fortinet.com/blog/threat-research/The-story-of-a-ransomware-turning-into-an-accidental-wiper

[۵] https://thehackernews.com/2022/12/russian-courts-targeted-by-new-crywiper.html

[۶] https://thehackernews.com/2022/12/open-source-ransomware-toolkit.html