وبلاگ

رنسام‌هاب، ظهور تهدیدی جدید با ریشه‌های قدیمی در دنیای باج‌افزارها

  • ارسال توسط author-avatar
۱۷ مهر

 

باج‌افزارهای جدید و پیچیده هر روز به سرعت در حال ظهور و پیشرفت هستند، و یکی از جدیدترین و قدرتمندترین آنها رنسام‌هاب (RansomHub) است که به عنوان یک تهدید بزرگ در دنیای امنیت سایبری شناخته شده است. رنسام‌هاب که به عنوان یک سرویس باج‌افزار (Ransomware-as-a-Service یا RaaS) فعالیت می‌کند، در مدت کوتاهی توانسته است به یکی از بزرگترین و پرکاربردترین گروه‌های باج‌افزار تبدیل شود. با وجود تازگی این گروه، تحلیل‌های انجام‌شده نشان می‌دهد که رنسام‌هاب به احتمال زیاد نسخه به‌روزرسانی شده‌ای از باج‌افزار قدیمی‌تر نایت (Knight) است. این مقاله به بررسی تاریخچه، تحلیل تکنیکی و روش‌های حمله رنسام‌هاب می‌پردازد.

 

تاریخچه و منشاء رنسام‌هاب

بر اساس تحلیل‌های انجام شده توسط شرکت امنیتی Symantec، رنسام‌هاب شباهت‌های زیادی به باج‌افزار نایت دارد که پیش‌تر با نام سایکلوپس (Cyclops) شناخته می‌شد. نایت، یکی از باج‌افزارهای برجسته در گذشته، در فوریه 2024 فعالیت‌های خود را متوقف کرد و سورس کد آن در انجمن‌های زیرزمینی برای فروش عرضه شد. با توجه به این موضوع، بسیار محتمل است که توسعه‌دهندگان جدیدی سورس کد نایت را خریداری و با تغییرات و به‌روزرسانی‌هایی، رنسام‌هاب را راه‌اندازی کرده باشند.

 

شباهت‌های فنی بین رنسام‌هاب و نایت

تحلیل‌ها نشان می‌دهد که هر دو خانواده رنسام‌هاب و نایت با زبان برنامه‌نویسی Go نوشته شده‌اند و بسیاری از نسخه‌های آنها با ابزار Gobfuscate برای مبهم‌سازی کد استفاده شده‌اند. تنها برخی از نسخه‌های اولیه نایت فاقد این نوع مبهم‌سازی بودند.

 

شباهت‌های بین این دو باج‌افزار به قدری زیاد است که در بسیاری از موارد تنها از طریق بررسی لینک‌های موجود در نوت‌های باج‌خواهی می‌توان تفاوت آنها را مشخص کرد. رنسام‌هاب و نایت نه تنها در ساختار و نحوه عملکرد کد شباهت دارند، بلکه حتی در نوت‌های باج‌خواهی نیز از عبارات مشابهی استفاده کرده‌اند. به نظر می‌رسد که توسعه‌دهندگان رنسام‌هاب تنها نوت نایت را کمی ویرایش کرده و از همان عبارات استفاده کرده‌اند.

 

یکی از تفاوت‌های کلیدی بین این دو خانواده باج‌افزار، در دستورات اجرایی از طریق cmd.exe است. این دستورات می‌توانند هنگام ساخت پی‌لود (payload) یا در زمان تنظیمات مشخص شوند. اگرچه دستورات اجرایی متفاوت هستند، اما ترتیب و نحوه فراخوانی آنها مشابه است.

 

تکنیک‌های مشترک: رمزگذاری در حالت امن

یکی از ویژگی‌های منحصربه‌فرد هر دو باج‌افزار نایت و رنسام‌هاب، قابلیت راه‌اندازی مجدد سیستم قربانی در حالت امن (Safe Mode) قبل از شروع فرآیند رمزگذاری است. این تکنیک ابتدا توسط باج‌افزار اسنچ (Snatch) در سال 2019 استفاده شد و به باج‌افزار اجازه می‌دهد که بدون مزاحمت توسط سیستم عامل یا دیگر فرآیندهای امنیتی، فرآیند رمزگذاری را آغاز کند. اسنچ نیز همانند نایت و رنسام‌هاب با زبان Go نوشته شده و ویژگی‌های مشابهی دارد، که نشان می‌دهد ممکن است از همان سورس کد اصلی استفاده کرده باشد. با این حال، اسنچ فاقد برخی ویژگی‌های قابل تنظیم و مبهم‌سازی است که در رنسام‌هاب دیده می‌شود.

 

تفاوت‌های رنسام‌هاب با سایر باج‌افزارها

یکی دیگر از باج‌افزارهایی که از تکنیک راه‌اندازی مجدد سیستم در حالت امن قبل از رمزگذاری استفاده می‌کند، نوبروس (Noberus) است. جالب است که تنظیمات رمزگذاری در نوبروس در قالب فایل JSON ذخیره می‌شود و کلیدواژه‌های آن مشابه با موارد مشاهده شده در رنسام‌هاب است. این تشابهات نشان می‌دهد که ممکن است بین این باج‌افزارها نیز نوعی ارتباط وجود داشته باشد.

 

روش‌های حمله رنسام‌هاب

حملات اخیر رنسام‌هاب که توسط Symantec مورد بررسی قرار گرفته، نشان می‌دهد که این گروه برای دسترسی اولیه به شبکه‌های قربانی از آسیب‌پذیری معروف Zerologon (CVE-2020-1472) بهره‌برداری کرده است. این آسیب‌پذیری می‌تواند به مهاجم اجازه دهد تا سطح دسترسی مدیر دامنه (Domain Administrator) را به دست آورد و کنترل کامل دامنه را در اختیار بگیرد.

 

پس از به دست آوردن دسترسی اولیه، مهاجمان از ابزارهای دوگانه مانند Atera و Splashtop برای دسترسی از راه دور و از ابزار NetScan برای کشف و جمع‌آوری اطلاعات در مورد دستگاه‌های شبکه استفاده کردند. همچنین پی‌لود رنسام‌هاب از دستورات iisreset.exe و iisrstas.exe برای متوقف کردن تمام سرویس‌های Internet Information Services (IIS) استفاده کرد.

 

رشد سریع رنسام‌هاب

رنسام‌هاب با وجود اینکه اولین بار در فوریه 2024 مشاهده شد، به سرعت توانست رشد چشمگیری داشته باشد. در طی سه ماه گذشته، این گروه به عنوان چهارمین عامل پرحمله باج‌افزار در جهان شناخته شده و تعداد حملات زیادی را به نام خود ثبت کرده است. به عنوان مثال، این گروه اخیراً مسئولیت حمله به خانه حراج کریستیز در بریتانیا را بر عهده گرفت.

 

یکی از عواملی که به رشد سریع رنسام‌هاب کمک کرده، موفقیت این گروه در جذب برخی از اعضای سابق گروه‌های بزرگ باج‌افزار نوبروس (که با نام‌های ALPHV و BlackCat نیز شناخته می‌شود) است. گروه نوبروس اوایل سال جاری تعطیل شد و برخی از اعضای آن به رنسام‌هاب پیوستند. به عنوان مثال، یک عضو سابق نوبروس به نام «ناتچی» (Notchy) اکنون با رنسام‌هاب همکاری می‌کند. همچنین در یکی از حملات اخیر رنسام‌هاب، ابزارهایی که قبلاً به یکی دیگر از اعضای نوبروس به نام «عنکبوت پراکنده» (Scattered Spider) مرتبط بودند، استفاده شده است.

 

سرعت رشد رنسام‌هاب و موفقیت آن در اجرای حملات به خوبی نشان می‌دهد که اعضای این گروه از اپراتورهای باتجربه‌ای تشکیل شده‌اند که دارای ارتباطات گسترده‌ای در دنیای زیرزمینی سایبری هستند.

 

راهکارهای حفاظت و کاهش خطر

برای مقابله با تهدیدهای ناشی از رنسام‌هاب و سایر باج‌افزارها، همواره به‌روزرسانی منظم سیستم‌ها و نرم‌افزارهای امنیتی توصیه می‌شود. شرکت Symantec نیز در این راستا به‌روزرسانی‌های جدیدی برای محصولات خود ارائه داده و به کاربران پیشنهاد می‌کند که به صورت مرتب از اطلاعات حساس خود نسخه پشتیبان تهیه کنند و ابزارهای امنیتی مناسبی را برای شناسایی و جلوگیری از حملات باج‌افزاری مورد استفاده قرار دهند.

 

رنسام‌هاب به عنوان یک گروه جدید و پرقدرت در دنیای باج‌افزارها، توانسته است در مدت کوتاهی جایگاه مهمی در میان گروه‌های باج‌افزاری کسب کند. با توجه به شباهت‌های قابل توجهی که بین رنسام‌هاب و نایت وجود دارد، به نظر می‌رسد که رنسام‌هاب نسخه به‌روزرسانی شده‌ای از این باج‌افزار قدیمی باشد. اما با وجود این، توانایی و سرعت رشد این گروه نشان می‌دهد که اعضای آن از تجربه و توانایی‌های بالایی در زمینه حملات سایبری برخوردارند. به‌روزرسانی‌های امنیتی، آگاهی از آسیب‌پذیری‌ها و استفاده از روش‌های مناسب حفاظتی، بهترین راه برای کاهش خطرات ناشی از این نوع تهدیدات است.

جدیدتر راهکارهای امنیتی سیمانتک در برابر نرم‌افزارهای جاسوسی، تکنیک‌های پنهان‌کاری و مقابله با تحلیل‌های استاتیک
بازگشت به لیست
قدیمی تر حملات گسترده سایبری با استفاده از ابزارهای جاسوسی و تمرکز سیمانتک جهت شناسایی حملات

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

شانزده − 8 =