کمیته رکن چهارم – محققان امنیتی شرکت پالو آلتو (Palo Alto) از افزایش فعالیت باجافزار Hello XD خبر دادهاند که گردانندگان آن، نسخه ارتقا یافته باجافزار را با قابلیت رمزگذاری قویتر، توزیع میکنند.
محققان شرکت پالوآلتو بر این باورند که باجافزار Hello XD که اولینبار در آبان ۱۴۰۰ مشاهده شد از کد برنامه فاش شده باجافزار Babuk استفاده میکرد و در یک تعداد حملات کم، با اخاذی مضاعف، دادههای سازمان را قبل از رمزگذاری دستگاهها سرقت میکردند.
اخیراً نویسنده این باجافزار تغییراتی در الگوریتم رمزگذاری داده است و از فشردهسازی اختصاصی برای فرار از راهکارهای امنیتی استفاده میکند.
این تغییرات در کد، منجر به تفاوت قابلتوجه باجافزار Hello XD با باجافزار Babuk شده و قصد نویسنده را برای توسعه آن و ایجاد یک نوع باجافزار جدید با قابلیتها و ویژگیهای منحصربهفرد برای افزایش حملات نشان میدهد.
باجافزار Hello XD در حال حاضر از سایت پرداخت Tor برای اخاذی از قربانیان استفاده نمیکند، بلکه به قربانیان اعلام میکند که مستقیماً از طریق سرویس چت TOX با آنها وارد مذاکره شوند. در آخرین نسخه، گردانندگان بدافزار یک پیوند به یک سایت Onion را در اطلاعیه باجگیری (Ransom Note) اضافه کردهاند، اما به نقل از محققان، این سرویس غیرفعال است و ممکن است در حال ساخت باشد.
در هنگام اجرا، Hello XD سرویس Volume Shadow Copy Service را غیرفعال میکند تا از بازیابی آسان سیستم جلوگیری کند و سپس فایلها را رمزگذاری و پسوند .hello را به نام فایلها اضافه میکند.
نتایج بررسی محققان حاکی از آن است که علاوه بر کد مخرب باجافزار، Hello XD از یک برنامه «دسترسی غیرمجاز» (Backdoor) به نام MicroBackdoor برای نفوذ در سیستم آسیبپذیر، استخراج فایلها، اجرای دستورات و پاککردن هرگونه اثر و نشانی از خود استفاده میکند. فایل اجرایی MicroBackdoor با استفاده از WinCrypt API رمزگذاری شده و در کد مخرب باجافزار جاسازی و تعبیه شده است، بنابراین بلافاصله پس از آلوده شدن سیستم به آن منتقل میشود.
فشردهساز بهکار گرفته شده در نسخه جدید این باجافزار (Hello XD ۲.۰) دارای دولایه مخفیسازی است. جالبترین وجه تمایز در نسخه جدید باجافزار Hello XD، تغییر الگوریتم رمزگذاری از HC-۱۲۸ و Curve۲۵۵۱۹-Donna به Rabbit Cipher و Curve۲۵۵۱۹-Donna است. علاوه بر این، نشانگر فایل (File Marker) در نسخه جدید باجافزار از یکرشته منسجم و پیوسته به بایتهای تصادفی تغییریافته و در نتیجه رمزنگاری قویتر شده است. بنابراین در حال حاضر باوجوداینکه Hello XD در مراحل اولیه پیدایش است، باجافزاری خطرناک بوده و مهاجمان در حملات خود از آن استفاده میکنند. اگرچه وسعت آلودگی و بهکارگیری Hello XD هنوز چندان قابلتوجه نیست، توسعه فعال و هدفمند آن زمینه را برای حملات خطرناکتر و گستردهتر فراهم میکند.
محققان امنیتی پالو آلتو نتورکس رد پای این باجافزار را به یک مهاجم روسیزبان با نام مستعار X۴KME، ارتباط دادهاند. این فرد در تالارهای گفتوگو، خدماتی نظیر تهیه نمونه اثباتگر (Proof-of-Concept – بهاختصار PoC)، خدمات رمزنگاری و سرویسهای میزبانی و توزیع بدافزار نیز ارائه داده است. در مجموع، این مهاجم فردی کاملاً ماهر به نظر میرسد به صورتی که میتواند Hello XD را همچنان ارتقا دهد؛ بنابراین محققان و تحلیلگران امنیتی بهتر است توسعه این باجافزار را زیر نظر داشته باشند.
منبع : مرکز مدیریت راهبردی افتا
