بهره‌برداری باج‌افزار ProLock از تروجان QakBot

کمیته رکن چهارم – باج‌افزار ProLock از تروجان QakBot برای رخنه به شبکه قربانیان بهره‌برداری می‌کند.

اگرچه ProLock بدافزار نسبتاً جدیدی در صحنه باج‌افزارها محسوب‌می‌شود، اما به‌دلیل هدف قرار دادن کسب‌وکارها و سازمان‌های دولتی و اخاذی مبالغ هنگفت از آنها به‌سرعت در حال معروف شدن است.

شرکت Diebold Nixdorf، یک شرکت آلمانی فعال در حوزه فناوری اطلاعات، ازجمله جدیدترین قربانیان ProLock است. علی‌رغم آنکه حمله ProLock به این سازنده تجهیزات خودپرداز پیش از شروع رمزگذاری و دست‌درازی به فایل ها کشف شد اما موجب بروز اختلالاتی در شبکه این شرکت شد.

این باج‌افزار، نخست با نام PwndLocker ظهور کرد. اما از ماه مارس و پس از ترمیم باگی در آن که امکان رمزگشایی رایگان فایل‌ها را فراهم می‌کرد به ProLocker تغییر نام داد

اکنون شرکت Group-IB در گزارشی به بررسی این باج‌افزار پرداخته است. گردانندگان ProLock بسته به اندازه شبکه قربانی مبالغی بین ۱۷۵ هزار تا ۶۶۰ هزار دلار را از قربانیان خود اخاذی می‌کنند.

مهارت مهاجمان ProLock و تکنیک‌های مورد استفاده آنها مشابه با روش کار گروه‌های سرشناس باج‌افزاری نظیر Sodinokibi و Maze است. با این حال، حتی مهاجمان حرفه‌ای نیز در مراحلی همچون توزیع، رخنه اولیه و حرکات جانبی از هکرهای مستقل پشتیبانی می‌گیرند.

ProLock برای رخنه به اهداف خود از دو روش استفاده می‌کند. اولین روش، توزیع از طریق QakBot – که با نام QBot نیز شناخته می‌شود – است. QakBot پیش‌تر نیز در انتشار باج‌افزار MegaCortex نقش داشت.

دومین روش، حمله به سرورهای با پودمان RDP باز و قابل دسترس بر روی اینترنت است. دسترسی از طریق RDP به تکنیکی متداول میان گردانندگان باج‌افزار تبدیل شده است. معمولاً دسترسی به سرورهای با RDP باز از گروه‌های ثالت خریداری می‌شود اما در مواقعی نیز مهاجمان خود اقدام به هک این سرورها می‌کنند.

استفاده ProLock از QakBot برای دسترسی به شبکه قربانی را می‌توان مشابه با مشارکت Ryuk با TrickBot و DoppelPaymer/BitPaymer با Dridex دانست.

QakBot یک تروجان بانکی است که از طریق کارزارهای فیشینگ و در قالب اسناد مخرب Microsoft Word که معمولاً به سازمان‌ها ارسال می‌شوند منتشر می‌شود. Emotet نیز در مواردی در ناقل این بدافزار بوده است.

QakBot و ProLock هر دو از فرایند معتبر PowerShell برای دریافت کد مخرب اولیه بدافزار استفاده می‌کنند.

بدافزار بانکی توسط ماکروهای مخرب بر روی دستگاه قربانی دریافت و نصب می‌شود. اما کد باج‌افزار از یک فایل تصویری JPG یا BMP استخراج می‌شود.

اگر گردانندگان ProLock از دسترسی RDP برای دستیابی به شبکه قربانی استفاده کنند ماندگاری معمولاً از طریق حساب‌های کاربری معتبر برقرار می‌شود. اما در روش انتشار از طریق QakBot از چندین روش از جمله ساخت کلیدهای Run و فرامین زمانبندی‌شده (Scheduled Task) استفاده می‌شود.

فراهم کردن بستر برای ProLock توسط QakBot حدود یک هفته طول می‌کشد. تروجان باج‌افزار را نصب نمی‌کند. اما در عین حال اسکریپت‌های موسوم به Batch را از انباره های ذخیره سازی ابری دریافت و اجرا می کند.

پس از دستیابی به اطلاعات اصالت‌سنجی برخی سرورها حرکات جانبی آغاز می‌شود. مهاجمان اسکریپت‌های خود را با بهره‌گیری از ابزار معتبر PsExec بر روی دستگاه‌های مقصد در شبکه قربانی اجرا می‌کنند.

گردانندگان یک اسکریپت PowerShell را برای استخراج ProLock که کد دودویی آن در یک فایل تصویری جاسازی شده اجرا کرده و باج‌افزار را بر روی سیستم های قابل دسترس توزیع می‌کنند.

برای توزیع از WMIC استفاده می‌شود. گردانندگان ProLock داده‌ها را از روی یک شبکه هک شده سرقت می‌کنند. بدین‌منظور فایل‌ها با استفاده از ۷-Zip فشرده شده و از طریق Rclone به چندین انباره ابری (OneDrive، Google Drive، Mega) ارسال می‌شود. Rclone یک برنامه خط فرمانی برای همسان‌سازی داده‌ها با سرویس‌های ذخیره‌سازی ابری است.

باج‌افزار پسوندهایی خاص (proLock، pr۰Lock، proL۰ck، key یا pwnd) را به فایل‌های رمزگذاری شده الصاق کرده و در هر پوشه فایلی متنی که حاوی دستورالعمل بازگردانی فایل‌هاست کپی می‌کند.

به‌نظر نمی‌رسد که حداقل در حال حاضر امکان رمزگشایی رایگان این باج‌افزار امکان‌پذیر باشد. هرچند که این موضوع ممکن است در آینده‌ای نزدیک تغییر کند.
منبع: مرکز مدیریت راهبردی افتا