عرضه باج‌افزار BlackRouter در قالب RaaS توسط یک هکر ایرانی

کمیته رکن چهارم – نسخه جدیدی از باج‌افزار BlackRouter – که با نام Blackheart نیز شناخته می‌شود – شناسایی شده که در قالب خدمات موسوم به “باج‌افزار به‌عنوان سرویس” توسط هکری ایرانی در تلگرام به مهاجمان دیگر عرضه می‌شود.

در اوایل امسال، یکی از شرکت‌های ضدویروس از کشف باج‌افزاری با همین نام خبر داد که در جریان انتشار آن، ابزار دسترسی از راه دور معروف AnyDesk بر روی دستگاه قربانی کپی می‌شد. استفاده از ابزار AnyDesk، صرفا ترفندی برای فریب کاربر بود. بدین‌ترتیب که اجرای فایل آن سبب می‌شد که کاربر تصور کند که این ابزار نام‌آشنا بر روی دستگاه او اجرا شده و به فایل دوم که پشت‌صحنه به رمزگذاری فایل‌های کاربر می‌پرداخت توجهی نکند.

اکنون به‌نظر می‌رسد که نویسنده آن، ضمن اعمال تغییراتی جزیی، پشتیبانی از خدمات “باج‌افزار به عنوان سرویس” (Ransomware-as-a-Service – به اختصار RaaS) را نیز به نسخه جدید BlackRouter افزوده است.

در RaaS، صاحب باج‌افزار، فایل مخرب را به‌عنوان یک خدمت به متقاضی اجاره می‌دهد. متقاضی که ممکن است در برنامه‌نویسی تخصصی نداشته باشد تنها وظیفه انتشار باج‌افزار را بر عهده دارد. در نهایت بخشی از مبلغ اخاذی شده از قربانی به متقاضی و بخشی دیگر به نویسنده می‌رسد.

بر طبق توضیحات فارسی درج شده در کانال تلگرام هکر مذکور، این سهم در سرویس RaaS باج‌افزار BlackRouterو ۸۰ و ۲۰ درصد است. بدین نحو که ۸۰ درصد از مبلغ باج به فرد یا گروهی که کار انتشار BlackRouter را برعهده داشته‌اند می‌رسد و ۲۰ درصد باقیمانده به هکر گرداننده کانال تعلق می‌گیرد.

نمونه‌ای از رابط کاربری نسخه جدید BlackRouter بر روی یک دستگاه آلوده به این باج‌افزار در تصویر زیر نشان داده شده است.

همچنین این هکر آن‌طور که خود ادعا می‌کند در حال توسعه یک اسب تروای دسترسی از راه دور (Remote Access Trojan) با نام BlackRAT با قابلیت‌های متعدد است که به گفته او به‌زودی آماده استفاده خواهد شد.

به‌نظر نمی‌رسد که دامنه انتشار باج‌افزار BlackRouter، حداقل تا زمان نگارش این مطلب قابل توجه بوده باشد.

اصلی‌ترین روش انتشار این باج‌افزار اتصال مهاجمان آن به دستگاه‌های با پودمان RDP فعال و رمز عبور ضعیف و اجرای فایل مخرب آن به‌صورت دستی است. لذا مقاوم‌سازی پودمان مذکور نقش بسزایی در ایمن نگاه داشتن سازمان از گزند BlackRouter دارد.

لازم به ذکر است که نسخه‌های مختلف BlackRouter با نام‌های زیر قابل شناسایی می‌باشد:

Bitdefender:
   – Trojan.GenericKD.30758789
   – Gen:Variant.Ransom.BlackHeart.4

McAfee:
   – Trojan-FDDZ!96238F811539
   – Artemis!EBAD44D2A8C7

Sophos:
   – Mal/Ramsil-T
   – Mal/Generic-S

درباره نویسنده

پست های مرتبط

پاسخ دهید


خبرگزاری هرانا

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *


Type The Green Captcha Characters Below.