يستخدم شكل جديد من برامج الفدية التي تم رصدها في ما يسميه الباحثون مستويات التشفير "المفرط" لاختطاف الأنظمة المصابة. هذا ال...
يستخدم شكل جديد من برامج الفدية التي تم رصدها في ما يسميه الباحثون مستويات التشفير "المفرط" لاختطاف الأنظمة المصابة.
هذا الأسبوع ، قالت FortiGuard Labs إن المتغير الجديد المعروف باسم : Nemty ، تمت مشاركته مؤخرًا كعينة من روبوت Twitter الذي ينشر روابط PasteBin إلى رمز البرامج الضارة.
كان من المفترض أن ترتبط إحدى العينات التي شاركها الروبوت مع متغير Sodinokibi ransomware ، لكن المصدر انتهى به الأمر إلى كونه عائلة جديدة من البرامج الضارة تمامًا.
Sodinokibi ، المعروف أيضًا باسم Sodin أو REvil ، عبارة عن برامج ضارة في حالة تطور مستمر ويستخدم تكتيكات تتراوح من ما يسمى بعمليات استغلال Windows zero-day ووحدات التحكم في برامج الإدارة عن بُعد المعرضة للإصابة والأنظمة المصابة.
نظرًا لاكتشاف مفتاح يمنح مشغلي برامج الفدية الفرصة لفك تشفير أي ملف بغض النظر عن إعدادات المفاتيح العامة والخاصة ، فمن الممكن أن يتم تقديم البرمجيات الخبيثة كخدمة (RaaS), وقد حدد الباحثون في السابق التشابه بين كود GandCrab و Sodinokibi.
بينما استخدم GandCrab أيضًا رابطًا مضمنًا في ثنائي عينة Nemty قبل "التقاعد" للمشغل - بعد أن جنى الكثير من أموال - ويبدو أن Nemty قد تم توزيعه من خلال نفس قنوات Sodinokibi ، يقول الباحثون إنهم بصدد إثبات وجود صلة قوية بين الثلاثي.
لا يُعرف ما إذا كان لدى Nemty روابط إلى هذه العائلات الخبيثة أم لا خارج نطاق الارتباط الثنائي والتوزيع بواسطة مجموعة Sodinokibi ، ولكن من الممكن أن تكون هذه المراحل المبكرة من أحدث البرامج الضارة للمهاجمين السيبرانيين المتصلين بمخططات RaaS.
Nemty يبدو أنه لا يزال في مرحلة التطوير فقد تم إعداد صفحة دفع في شبكة Tor ويطلب مبلغ 1000 دولار في Bitcoin (BTC) في مقابل الحصول على مفتاح فك التشفير لإلغاء تأمين الأنظمة المصابة.
بينما توجد وظيفة لإرسال معلومات التكوين المشفرة من جهاز مستهدف إلى خادم الأوامر والتحكم (C2) الخاص بفدية Ransomware ، في الوقت الحالي ، فإن عنوان IP المراد استخدامه في C2 هو مجرد عنوان استرجاع.
يقول الباحثون: "من الممكن أنهم ببساطة لم يقوموا بتكوين خادم تشغيلي لاستلام البيانات بعد".
من أجل تشفير جهاز الكمبيوتر الخاص بالضحية ، يستخدم Nemty كلاً من تشفير base64 وتشفير RC4, وفي ضربة سريعة لأي باحث قام بتصميم هندسي عكسي ، استخدم المطورون عبارة روسية ، "f ** kav \ x00" ، كمفتاح تشفير RC4.
يتم استخدام AES-128 في وضع CBC و RSA-2048 و RSA-8192 لتشفير الملفات وتوليد المفاتيح, ويتم استخدام قيمة 32 بايت كمفتاح AES ، يتم إنشاء زوج مفاتيح RSA-2048 ، ويتم استخدام تشفير RSA مع 8192 بت من حجم المفتاح بشكل غير عادي لتشفير كل من ملفات التكوين والمفتاح الخاص.
CNET: يمكن أن يأتي محور الخصوصية مع منحة بقيمة 100 مليون دولار
تقول FortiGuard Labs أن السلاسل 2048 و 4096 عمومًا أكثر من كافية لتشفير وتأمين الرسائل ، وبالتالي فإن استخدام حجم 8192 هو "مبالغة وغير فعالة لغرضها."
"يؤدي استخدام حجم المفتاح الأطول إلى إضافة مقدار كبير من الحمل نظرًا لوقت إنشاء المفتاح وتشفيره لفترة أطول بكثير [...] لا يمكن لـ RSA-8192 سوى تشفير 1024 بايت في كل مرة ، حتى أقل إذا أخذنا في الاعتبار الحجم المحجوز للحشو" .
ملحوظة: "نظرًا لأن حجم التكوين سيكون بالتأكيد أكثر من ذلك نظرًا لحقيقة احتوائه على المفتاح الخاص المشفر ، فإن البرامج الضارة تقطع المعلومات إلى أجزاء من 1000 (0x3e8) بايت وتنفذ عمليات متعددة من RSA-8192 حتى تصبح المعلومات بأكملها مشفرة ".
الاستخدام المكثف للتشفير يعني أنه "من غير الممكن عمليا" فك تشفير نظام للخطر وفقا لشركة الأمن السيبراني, هذا أمر مؤسف لأن برامج فك التشفير التي تقدمها شركات الأمن السيبراني يمكن أن تكون في بعض الأحيان الطريقة الوحيدة لاستعادة الملفات المفقودة بسبب إصابات الفدية دون دفع مبالغ.
هناك مشكلات في الكود تشير إلى أن التطوير قد يكون قيد التنفيذ ، مثل تكرار مقارنة الملفات دون غرض وأسلوب غير فعال يستخدم في إدراج بعض امتدادات الملفات في القائمة البيضاء, سوف يتحقق البرنامج الضار أيضًا لمعرفة ما إذا كان عنوان IP الخاص بالنظام يتعلق بروسيا أو "روسيا البيضاء أو بيلاروس" أو كازاخستان أو طاجيكستان أو أوكرانيا - ولكن بغض النظر عن النتيجة ، سيستمر التشفير.
تشير أيضًا مؤشرات المعرّفات التابعة المدفونة في رمز البرامج الضارة إلى RaaS.
على الرغم من المشكلات المتعلقة بالكود والمؤشرات التي لا تزال Nemty قيد التطوير ، يقول الباحثون إنه نظرًا لأنه لا يزال بإمكانه تشفير الأنظمة بشكل فعال ، فإن البرامج الضارة "تشكل تهديدًا حقيقيًا" حتى في حالتها كما هي عليه الآن, وفي الواقع ، مع الانتهاء من إعداد التقرير ، تم العثور على متغير جديد من Nemty - مما قد يشير إلى أن التوزيع جاري.
![تحميل لعبة PUBG MOBILE: RESISTANCE APK + OBB للأندرويد [آخر تحديث][V1.7.0]](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjwKm6XHcYyUurCsSZchKFSbiCKCNb3DB1mcWsJ-VjqAnvDbSYspaGLf_m3XKxrCq4J6EA8YOpAPjnTMnuKQZo76ARRf2Cj8e_sJgheQJIGmh6OCtTpCYpEZl50-whs0pPd_ipYRv2FfV8/w150/ezgif.com-gif-maker.webp)
ليست هناك تعليقات