کمیته رکن چهارم – نخستینبار FONIX RaaS در جولای سال میلادی جاری در صحنه تهدیدات سایبری ظهور کرد و خوشبختانه تعداد نمونههای آلوده به آن همچنان اندک است.
FONIX خدمت «باجافزار بهعنوان سرویس» (Ransomware-as-a-Service – به اختصار RaaS) نسبتا جدیدی است که هنوز در ابتدای راه خود قرار دارد. گردانندگان آن پیشتر در توسعه کدهای دودویی (Binary) موسوم به Crypter و Packer فعالیت داشتند. افراد پشتپرده FONIX RaaS تبلبغ چندین محصول را در تالارهای گفتوگوی مختلف تبهکاران سایبری در کارنامه دارند.
در خدمات RaaS، نویسندگان باجافزار، نسخهای از کد مخرب خود را به متقاضیان خدمت ارائه میدهند. متقاضی وظیفه انتشار باجافزار را بر عهده دارد که در صورت پرداخت شدن باج از سوی قربانی بخش عمده مبلغ به او میرسد. باقی آن نیز سهم نویسندگان باجافزار یا در حقیقت ارائهدهندگان RaaS خواهد بود.
بر طبق گزارشی که SentinelOne آن را منتشر کرده محققان این شرکت معتقدند متقاضیان میتوانند بدون هرگونه پیشپرداخت از خدمات FONIX RaaS استفاده کنند. این محققان بر این باورند که در صورت دستکم گرفتن آن توسط شرکتها و نهادهای امنیتی میتواند بهسرعت به باجافزاری فراگیر تبدیل شود.
ازجمله نکات قابل توجه در خصوص FONIX بهرهگیری آن از چهار الگوریتم رمزگذاری در حین دستدرازی به هر فایل است.
برقراری ارتباط با گردانندگان FONIX RaaS از طریق ایمیل ممکن است. تحقیقات کارشناسان SentinelOne نشان میدهد که ابزار رمزگشایی یا کلید در همان ابتدا در اختیار متقاضی RaaS قرار نمیگیرد. در عوض متقاضی RaaS باید پس از آلودهسازی دستگاه، تعدادی فایل شامل دو فایل کوچک – برای اثبات قابل رمزگشایی بودن آنها – و فایل cpriv.key را از قربانی اخذ کرده و سپس آنها را به نویسندگان FONIX ارسال کند. نویسندگان نیز نسخه رمزگشایی شده فایلها را به متقاضی ارسال میکنند تا در نهایت در اختیار قربانی قرار بگیرد.
با متقاعد شدن قربانی به پرداخت باج، متقاضی نیز کیف بیتکوین را خود جهت دریافت مبلغ اعلام میکند که در صورت واریز آن ۲۵ درصد مبلغ به نویسندگان FONIX میرسد.
مشخص است که فرایند مذکور کمی پیچیده بوده و کاربرپسندی بسیاری از سرویسهای RaaS دیگر را ندارد.
باجافزار FONIX تنها دستگاههای مبتنی بر Windows را هدف قرار داده و بهصورت پیشفرض به استثنای فایلهای حیاتی سیستم عامل تمامی انواع فایلها را رمزگذاری میکند.
این باجافزار از ترکیب AES، Chacha، RSA و Salsa۲۰ برای رمزگذاری فایلهای قربانی استفاده کرده و به آنها پسوند XINOF را الصاق میکند. این متخصصان اشاره کردهاند که استفاده از چندین پودمان رمزگذاری موجب کندتر شدن فرایند رمز کردن فایلها در مقایسه با سایر باجافزارها شده است.
به محض اجرا شدن کد مخرب FONIX با سطح دسترسی Administrator تغییرات سیستمی زیر ایجاد میشود:
• غیرفعال شدن Task Manager
• ماندگار شدن خود از طریق فرامین موسوم به Scheduled Task، پوشه Startup و کلیدهای Run و RunOnce در محضرخانه (Registry)
• مورد دستدرازی قرار گرفتن سیستم فایل
• اعمال ویژگی «مخفی» (Hidden) به فایلهای دائمی باجافزار
• ایجاد یک سرویس مخفی در راستای ماندگار کردن باجافزار
• تغییر عناوین درایو (منطقی) به XINOF
• حذف رونوشتهای موسوم به Volume Shadow (از طریق vssadmin و wmic)
• دستدرازی به تنظیمات بازگردانی سیستم یا غیرفعالسازی آن (با استفاده از bcdedit)
• تغییر تنظیمات Safeboot
رمزگذاری تمامی فایلها در FONIX سازوکاری بهشدت تهاجمی است که بازگردانی سیستم به حالت اولیه را بسیار دشوار میکند. اما حداقل در حال حاضر به نظر نمیرسد FONIX تهدیدی در اجرای امور مخرب دیگر نظیر سرقت و نشت عمومی اطلاعات یا حملات DDoS برای قربانیانی باشد که حاضر به پرداخت باج نیستند.
منبع : مرکز مدیریت راهبردی افتا
