کشف یک اشکال در کد مخرب گروه هکری Play

به گزارش کارگروه امنیت سایبربان؛ گروه باج‌گیری «Play» یکی از موفق‌ترین سازمان‌های باج‌گیری در جهان است که صدها قربانی در شبکه خود داشته‌اند و میلیون‌ها دلار خسارت به سازمان‌ها از جمله برخی حملات معروف مانند حمله به تأمین‌کنندگان ارتش سوئیس و دیگر مقامات دولتی سوئیس در ژوئن گذشته وارد شده است.

تا پایان سال 2023، این گروه با توجه به تعداد قربانیان فهرست شده در سایت فاش شده، یکی از 5 گروه بزرگ باج‌خواهی محسوب می‌شد.

به گفته کارشناسان، این گروه از مدل باج‌افزار به عنوان سرویس (RaaS) استفاده نمی‌کند که یک روند محبوب در نظر گرفته می‌شود، در عوض ترجیح می‌دهد خود قربانیان را هدف قرار دهد تا بیشترین باج را مستقیماً به دست آورد. این کار همچنین نشان دهنده اعتماد اعضای گروه به توانایی‌های حرفه‌ای خود است.

با وجود همه این‌ها، کارشناسان معتقدند که حتی بازی Play را هم می‌توان گاهی شکست داد، زیرا حتی بهترین و ارشدترین هکرها هم اشتباه می‌کنند. قبل از اینکه به مهاجمان پول پرداخت کنید، باید نقاط ضعف آنها را مشخص کنید و بدانید که برای دفاع از خود چه کاری می‌توانید انجام دهید.

محققان آزمایشگاه سایبرآرک (Cyberark) یک اشکال در کد مخرب «Fly» پیدا کرده‌اند که باعث می‌شود هنگام تلاش برای رمزگذاری پوشه‌های شبکه قربانی از کار بیفتد.

آری نُویک (Ari Novick)، محقق آزمایشگاه سایبرآرک، این فرآیند را اینگونه توضیح داد :

«برای رمزگذاری پوشه‌های شبکه، قربانی شبکه را شمارش می‌کند تا تمام پوشه‌های شبکه را که در دسترس او هستند، پیدا کند. شمارش با یک پینگ به هر آدرسی در شبکه محلی شروع می‌شود و سپس به هر آدرسی که پاسخ می‌دهد، مخرب سعی می‌کند یک سوکت باز کند تا بفهمد که آیا دستگاهی که پاسخ داده برای ارتباط «smb» باز است یا خیر. از همه ماشین‌هایی که برای ارتباطات smb باز هستند، قربانی بررسی می‌کند که کدام پوشه‌های شبکه در آن ماشین‌ها قابل دسترسی هستند و آنها را رمزگذاری می‌کند.»

به گفته نُویک، در تمام این مراحل، شخص مخرب با کمک یک ساختار داده منحصر به فرد که در حافظه ذخیره می‌شود، واکنش‌های رایانه‌های مختلف در شبکه را ردیابی می‌کند، اما پس از پایان رمزگذاری، آن ساختار حذف می‌شود.

وی خاطرنشان کرد :

«به دلایل کارایی، آزمایش‌های موجود در شمارش به طور همزمان (چند رشته‌ای) انجام می‌شوند، اما توسعه‌دهندگان «Nozka» به خوبی بین عملیات‌های مختلف (رشته‌ها) همگام‌سازی نشده‌اند. عدم همگام‌سازی شرایطی را ایجاد می‌کند که قربانی گاهی اوقات ساختار داده را از حافظه حتی قبل از اینکه او با پینگ بررسی کند که کدام رایانه در شبکه وجود دارد، حذف می‌کند. سپس، هنگامی که تست پینگ به پایان رسید، مخرب سعی می‌کند نتایج آزمایش را در یک ساختار داده حذف شده ذخیره کند و از آنجایی که دیگر وجود ندارد، خطایی ایجاد می‌شود که باعث از کار افتادن مخرب می‌گردد.»

محققان علاوه بر یافتن باگ، تکنیک‌های حمله توسعه‌یافته توسط این گروه را برای فرار از برنامه‌های آنتی‌ویروس، که یکی از آنها رمزگذاری جزئی/متناوب است، تجزیه و تحلیل کردند. در اینجا نیز سازمان‌ها این گزینه را دارند که حداقل بخشی از اطلاعات را بازیابی و از آسیب‌های حمله باج‌گیری جلوگیری کنند.

به منظور کمک به سازمان‌ها در بازیابی اطلاعات، محققان آزمایشگاه سایبرآرک یک ابزار بازیابی رایگان به نام «White Phoenix» توسعه داده‌اند؛ این ابزار به صورت متن باز نوشته شده و هدف آن بازیابی اطلاعات از فایل‌های نیمه رمزگذاری شده است.

این ابزار که تاکنون فقط از طریق «GitHub» به عنوان یک پروژه پایتون در دسترس بود، اکنون در نسخه آنلاین نرم‌افزار به عنوان سرویس (SaaS) برای قربانیان باج‌افزاری که به فناوری یا کد بلد نیستند در دسترس است.

استفاده از سایت آنلاین White Phoenix ساده است و فقط نیاز به آپلود فایل‌های نیمه رمزگذاری شده، کلیک کردن روی دکمه بازیابی دارد و سپس ابزار همه چیز را از فایل‌هایی که تا حدی توسط هکرها رمزگذاری شده‌اند بازیابی می‌کند.

در حال حاضر، این ابزار از فایل‌های پی‌دی‌اف، فایل‌های سند وُرد و اِکسل، فایل‌های زیپ و پاورپوینت پشتیبانی می‌کند.