باج‌افزار Bucbi از طریق حملات جستجوی فراگیر

به گزارش واحد متخصصین سایبربان؛ یک به‎روزرسانی قابل‌توجه دریافت کرده است و اکنون از حملات جستجوی فراگیر RDP به‌عنوان مکانیسم گسترش خود استفاده می‌کند. 

این بدافزار معمولاً از طریق یک بارگیری HTTP توسعه می‌یابد (با استفاده از یک کیت بهره‌بردار یا رایانامه فیشینگ) که به‌تازگی از طریق روش جستجوی فراگیر RDB  با تکیه‌بر کارگزار‌های ویندوز متصل به اینترنت (پروتکل دسکتاپ از راه دور) گسترش پیدا می‌کند. همچنین محققان می‌گویند که این باج‌افزار تغییریافته است و دیگر به اتصال اینترنت نیازی ندارد. محققان در اواخر ماه مارس به این نکته اشاره‌کرده‌اند که این حملات از طریق پنج آدرس IP انجام می‌شود و نویسندگان این بدافزار از مجموعه‌ای نام‌های کاربری عمومی در تلاش برای ورود به سامانه‌ها استفاده می‌کنند که ازجمله‌ی آن‌ها نام‌های کاربری خاص پایانه‌های فروش (PoS) است؛ بنابراین شرکت پالو آلتو می‌گوید که مهاجمان به دنبال دستگاه‌های PoS بودند اما پس‌ازاینکه متوجه شدند که دستگاه‌های آلوده تراکنش‌های مالی را پردازش نمی‌کنند، تاکتیک خود را تغییر دادند. 

پس‌ازاینکه یک دستگاه خاص با موفقیت به خطر افتاد، مهاجمان یک پرونده اجرایی را قرار می‌دهند که محققان دریافته‌اند یک ابزار جستجوی فراگیر RDP به نام «RDP brute» است (با کد z668) و این ابزار برای دسترسی به دستگاه قربانی استفاده می‌شود. 

در اوایل ماه آوریل، محققان تصادفاً یک نمونه پیدا کردند که دارای دو خط فرمان (CLI) بود /install و /uninstall. هنگامی‌که اولی ارائه می‌شد، بدافزار ابزار «FileService» را ایجاد می‌کرد و هنگامی‌که مؤلفه دوم اجرا می‌شد، آن را حذف می‌کرد. اگر هیچ شناسه‌ای ارائه نشود، این بدافزار به‌صورت خودکار سعی می‌کند که FileService را راه‌اندازی کند، چراکه تصور می‌کند این ابزار وجود دارد. 

درحالی‌که این سرویس اجراشده است، این بدافزار تعدادی از دستورات اشکال‌زدایی را ایجاد کرده و آن‎ها را در سابقه پوشه پرونده  %ALLUSERSPROFILE% ذخیره می‌کند. این باج‌افزار از یک رمزنگاری بلوک GOST برای ایجاد نام پرونده منحصربه‎فرد استفاده می‌کند و این تکنیکی است که مخصوص بوکبی است و شامل ایجاد دو پرونده کلیدی می‌شود. 

این باج‌افزار همه‌ی پرونده‌ها را در درایوهای دستگاه رمزنگاری می‌کند به‌جز آن‎هایی که در پوشه‌های زیر قرار دارند:

C:\WINDOWS

C:\Windows

C:\Program Files

C:\Program Files (x86) 

همچنین این بدافزار یک فرایند را نیز برای رمزنگاری منابع شبکه تولید می‌کند و WNetOpenEnum را فراخوانی می‌کند تا منابع دیسک‌های شبکه در دسترس باشند. 

برخلاف سایر خانواده‌های باج‌افزارهای مرسوم، بوکبی یک پسوند خاص به فایل‌هایی که رمزنگاری‌شده، اضافه نمی‌کند. این بدان معناست که بعد از رمزنگاری، پرونده‌ها دوباره نوشته می‌شوند و با همان اسامی که قبلاً وجود داشته‌اند قرار می‌گیرند. پرونده‎های کلیدی که از قبل ایجادشده‌اند، حذف نمی‌شوند. 

همچنین محققان مشاهده کرده‌اند که این بدافزار شامل یک‌روال رمزگشایی است که می‌تواند با تغییر یک باینری ساده پرونده‎ها را رمزگشایی کند، اگرچه هرگز بدافزار این روال را فراخوانی نمی‌کند. محققان می‌گویند که این روال می‌تواند برای قربانیان استفاده شود تا بدون پرداخت باج پرونده‎های خود را بازیابی کنند. 

ویژگی‌های این نمونه باج‌افزار جدیداً کشف‌شده، شبیه به نسخه‌های قدیم است و شامل وجود نام پرونده اصلی FileCrypt در هر دو آن‎ها و استفاده از تابع رمزگشایی بلوک GOST است. علاوه بر این، همه نمونه‌ها از پرونده‎های کلیدی فوق استفاده می‌کنند و سبک‌های کد نویسی میان نمونه‌ها نیز با همدیگر سازگاری دارد. 

تفاوت‌های میان نسخه‌های قدیمی بوکبی که در سال ۲۰۱۴ ظاهرشده و نمونه جدید، شامل روش نصب آن، در کنار نشانه خطر فرمان /install و /uninstall می‌شود. تابع رمزنگاری منابع شبکه نیز در این میان جدید است و همین‌طور فقدان یک مرکز C&C HTTP در نسخه‌های جدیدتر، تازگی دارد. 

همچنین محققان اشاره‌کرده‌اند که این باج‌افزار روی دستگاه‌های آلوده یادداشتی با عنوان «حزب راست اوکراین» می‌نویسد که یک حزب سیاسی ملی‌گرا با عملکردهای شبه‌نظامی است و ظاهراً صاحب این بدافزار است. بااین‌حال روس‌ها در حملات اخیر متوجه شده‌اند که دقیقه نمی‌توان مطمئن بود که ادعای «حزب راست اوکراین» دقیق و صحیح است. 

فقط در هفته گذشته محققان مرکز Fox-IT جزییات حمله‌ای را افشاء کردند که در آن مجرمان سایبری باج‌افزار را از یک کارگزار آلوده‌شده‌ی راه دور دسکتاپ فعال کرده‌اند.