جمعه ۱۰ فروردين ۱۴۰۳ , 29 Mar 2024
جالب است ۰
نخستین‌بار FONIX RaaS در جولای سال میلادی جاری در صحنه تهدیدات سایبری ظهور کرد و خوشبختانه تعداد نمونه‌های آلوده به آن همچنان اندک است.
منبع : مرکز مدیریت راهبردی افتا
نخستین‌بار FONIX RaaS در جولای سال میلادی جاری در صحنه تهدیدات سایبری ظهور کرد و خوشبختانه تعداد نمونه‌های آلوده به آن همچنان اندک است.

به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، FONIX خدمت «باج‌افزار به‌عنوان سرویس» (Ransomware-as-a-Service – به اختصار RaaS) نسبتا جدیدی است که هنوز در ابتدای راه خود قرار دارد. گردانندگان آن پیش‌تر در توسعه کدهای دودویی (Binary) موسوم به Crypter و Packer فعالیت داشتند. افراد پشت‌پرده FONIX RaaS تبلبغ چندین محصول را در تالارهای گفت‌وگوی مختلف تبهکاران سایبری در کارنامه دارند.

در خدمات RaaS، نویسندگان باج‌افزار، نسخه‌ای از کد مخرب خود را به متقاضیان خدمت ارائه می‌دهند. متقاضی وظیفه انتشار باج‌افزار را بر عهده دارد که در صورت پرداخت شدن باج از سوی قربانی بخش عمده مبلغ به او می‌رسد. باقی آن نیز سهم نویسندگان باج‌افزار یا در حقیقت ارائه‌دهندگان RaaS خواهد بود.

نخستین‌بار FONIX RaaS در جولای سال میلادی جاری در صحنه تهدیدات سایبری ظهور کرد و خوشبختانه تعداد نمونه‌های آلوده به آن همچنان اندک است.

بر طبق گزارشی که SentinelOne آن را منتشر کرده محققان این شرکت معتقدند متقاضیان می‌توانند بدون هرگونه پیش‌پرداخت از خدمات FONIX RaaS استفاده کنند. این محققان بر این باورند که در صورت دست‌کم گرفتن آن توسط شرکت‌ها و نهادهای امنیتی می‌تواند به‌سرعت به باج‌افزاری فراگیر تبدیل شود.

ازجمله نکات قابل توجه در خصوص FONIX بهره‌گیری آن از چهار الگوریتم رمزگذاری در حین دست‌درازی به هر فایل است.

برقراری ارتباط با گردانندگان FONIX RaaS از طریق ایمیل ممکن است. تحقیقات کارشناسان SentinelOne نشان می‌دهد که ابزار رمزگشایی یا کلید در همان ابتدا در اختیار متقاضی RaaS قرار نمی‌گیرد. در عوض متقاضی RaaS باید پس از آلوده‌سازی دستگاه، تعدادی فایل شامل دو فایل کوچک – برای اثبات قابل رمزگشایی بودن آنها – و فایل cpriv.key را از قربانی اخذ کرده و سپس آنها را به نویسندگان FONIX ارسال کند. نویسندگان نیز نسخه رمزگشایی شده فایل‌ها را به متقاضی ارسال می‌کنند تا در نهایت در اختیار قربانی قرار بگیرد.
با متقاعد شدن قربانی به پرداخت باج، متقاضی نیز کیف بیت‌کوین را خود جهت دریافت مبلغ اعلام می‌کند که در صورت واریز آن ۲۵ درصد مبلغ به نویسندگان FONIX می‌رسد.

مشخص است که فرایند مذکور کمی پیچیده بوده و کاربرپسندی بسیاری از سرویس‌های RaaS دیگر را ندارد.

باج‌افزار FONIX تنها دستگاه‌های مبتنی بر Windows را هدف قرار داده و به‌صورت پیش‌فرض به استثنای فایل‌های حیاتی سیستم عامل تمامی انواع فایل‌ها را رمزگذاری می‌کند.

این باج‌افزار از ترکیب AES، Chacha، RSA و Salsa۲۰ برای رمزگذاری فایل‌های قربانی استفاده کرده و به آنها پسوند XINOF را الصاق می‌کند. این متخصصان اشاره کرده‌اند که استفاده از چندین پودمان رمزگذاری موجب کندتر شدن فرایند رمز کردن فایل‌ها در مقایسه با سایر باج‌افزارها شده است.

به‌ محض اجرا شدن کد مخرب FONIX با سطح دسترسی Administrator تغییرات سیستمی زیر ایجاد می‌شود:

• غیرفعال شدن Task Manager
• ماندگار شدن خود از طریق فرامین موسوم به Scheduled Task، پوشه Startup و کلیدهای Run و RunOnce در محضرخانه (Registry)
• مورد دست‌درازی قرار گرفتن سیستم فایل
• اعمال ویژگی «مخفی» (Hidden) به فایل‌های دائمی باج‌افزار
• ایجاد یک سرویس مخفی در راستای ماندگار کردن باج‌افزار
• تغییر عناوین درایو (منطقی) به XINOF
• حذف رونوشت‌های موسوم به Volume Shadow (از طریق vssadmin و wmic)
• دست‌درازی به تنظیمات بازگردانی سیستم یا غیرفعالسازی آن (با استفاده از bcdedit)
• تغییر تنظیمات Safeboot

رمزگذاری تمامی فایل‌ها در FONIX سازوکاری به‌شدت تهاجمی است که بازگردانی سیستم به حالت اولیه را بسیار دشوار می‌کند. اما حداقل در حال حاضر به نظر نمی‌رسد FONIX تهدیدی در اجرای امور مخرب دیگر نظیر سرقت و نشت عمومی اطلاعات یا حملات DDoS برای قربانیانی باشد که حاضر به پرداخت باج نیستند.
کد مطلب : 17125
https://aftana.ir/vdcftydy.w6de0agiiw.html
ارسال نظر
نام شما
آدرس ايميل شما
کد امنيتی