سیستم‌های ویندوز و VMware ESXi، هدف باج‌افزار Nevada - آی‌کن

سیستم‌های ویندوز و VMware ESXi، هدف باج‌افزار Nevada

آنچه در ادامه میخوانید:

به نظر می‌رسد عملیات باج‌افزاری نسبتاً جدیدی با عنوان باج‌افزار Nevada به‌سرعت در حال بهبود توانایی‌های خود است. پژوهشگران امنیتی متوجه ارتقای كارامدی این باج‌افزار قفل‌كننده بر روی سیستم‌های ویندوز و VMware ESXi شده‌اند.

باج‌افزار Nevada در تاریخ ۱۰ دسامبر ۲۰۲۲ (۱۹ آذر ۱۴۰۱) در انجمن‌های گفتگوی دارك وب RAMP شروع به تبلیغ كرده و از مجرمان سایبری روسی و چینی دعوت كرد با ملحق شدن به آن از سهم ۸۵ درصدی از باج‌های پرداخت‌شده بهره ببرند.

باج‌افزار Nevada اعلام كرده است برای اعضایی كه قربانیان زیادی داشته باشند، سهم سود را به ۹۰ درصد افزایش خواهد داد.

پیش از این گزارش شده بود كه  RAMP، فضایی برای هكرهای روسی و چینی است كه در آن عملیات‌های سایبری خود را تبلیغ كرده یا با همتایان خود ارتباط برقرار می‌كنند. باج‌افزار Nevada شامل یك قفل‌كننده‌ی مبتنی بر زبان برنامه‌نویسی Rust، پورتال چت جهت مذاكره‌ی آنی و دامین‌های جداگانه در شبكه‌ی Tor برای اعضا و قربانیان است.

گونه‌ای از باج‌افزار Nevada كه بر دستگاه‌های ویندوزی تمركز دارد، با كنسول اجرا شده و از مجموعه  Flagهایی پشتیبانی می‌كند كه تا حدی كنترل رمزگذاری را به اپراتورها می‌دهد:

-file > رمزگذاری فایل‌های انتخاب شده

-dir > رمزگذاری دایركتوری انتخاب شده

-sd > حذف Shadow copies

-lhd > بارگذاری درایوهای مخفی

-nd > یافتن و رمزگذاری شبكه‌ی اشتراكی

-sm > رمزگذاری حالت امن

ویژگی باج‌افزار Nevada

یكی از ویژگی‌های جالب‌توجه باج‌افزار Nevada مكان‌هایی است كه از فرآیند رمزگذاری كنار می‌گذارد. معمولاً گروه‌های باج‌افزاری روسیه و كشورهای مستقل مشترك‌المنافع را هدف قرار نمی‌دهند. اما در مورد این باج‌افزار، این فهرست آلبانی، مجارستان، ویتنام، مالزی، تایلند، تركیه و ایران را نیز دربر می‌گیرد.

Payload این باج‌افزار از MPR.dll برای جمع‌آوری اطلاعات در مورد منابع شبكه استفاده كرده و دایركتوری‌های مشترك را به Queue رمزگذاری اضافه می‌كند. به هر درایو، از جمله درایوهای مخفی، یك حرف الفبا اختصاص پیدا می‌كند و تمام فایل‌های این درایوها نیز به Queue اضافه می‌شوند.

پس از این مرحله، رمزگذار به‌عنوان یك سرویس نصب شده و سپس سیستم مورد نقض امنیتی قرار گرفته با راه‌اندازی مجدد ،وارد واحد Safe Mode ویندوز با اتصال فعال به شبكه می‌شود.

قفل‌كننده با استفاده از الگوریتم Salsa20 به‌منظور تسریع رمزگذاری، روی فایل‌های بزرگتر از ۵۱۲ كیلوبایت رمزگذاری متناوب اجرا می‌كند.

فایل‌های اجرایی، DLL، LNK، SCR، URL، و INI در فولدر‌های سیستمی ویندوز و Program Files كاربر از رمزگذاری كنار گذاشته می‌شوند تا از غیرقابل Bootشدن میزبان جلوگیری شود.

به فایل‌های رمزگذاری شده پسوند .NEVADA اضافه می‌شود و در هر فولدر یك یاداشت باج قرار می‌گیرد كه به قربانی پنج روز فرصت می‌دهد تا خواسته‌های عوامل تهدید را برآورده كند، در غیر این صورت داده‌های دزدیده‌شده‌ی او، در وبسایت نشت اطلاعات باج‌افزار Nevada منتشر خواهد شد.

هدف قرار دادن سیستم‌های VMware ESXi

نسخه‌ی مخصوص لینوكس/VMware ESXi باج‌افزار Nevada همان الگوریتم رمزگذاری را به كار می‌برد كه در گونه‌ی مخصوص به ویندوز استفاده شده است (Salsa20). این نسخه بر یك متغیر ثابت تكیه می‌كند، رویكردی كه پیش از این در باج‌افزار Petya مشاهده شده است.
این نقص امنیتی كه به‌عنوان CVE-2021-21974 ردیابی می‌شود، ناشی از یك مشكل سرریز پشته در سرویس OpenSLP است كه می‌تواند توسط عوامل تهدید تایید نشده در حملات با پیچیدگی كم، مورد سوء استفاده قرار گیرد.
رمزگذار لینوكس همان سیستم رمزگذاری متناوب را دنبال می‌كند و تنها فایل‌های كوچكتر از ۵۱۲ كیلوبایت را رمزگذاری می‌كند.
طبق یافته‌های محققان، احتمالاً به دلیل یك Bug در نسخه‌ی لینوكس، باج‌افزار Nevada از تمامی فایل‌هایی كه بین ۵۱۲ كیلوبایت و ۱.۲۵ مگابایت هستند رد می‌شود.

قفل‌كننده‌ی لینوكس از آرگومان‌های زیر پشتیبانی می‌كند:

-help > راهنما
-daemon > ایجاد و راه‌اندازی سرویس Nevada
-file > رمزگذاری یك فایل خاص
-dir > رمزگذاری یك فولدر خاص
-esxi > از كار انداختن تمام دستگاه‌های مجازی

روی سیستم‌های لینوكس، كلید عمومی در انتهای فایل رمزگذاری شده در قالب یك ۳۸ بایت اضافه ذخیره شده است.
شباهت‌های این باج‌افزار با Petya تا باگ‌های اجرای رمزگذاری پیش می‌رود. این باگ‌ها می‌توانند پس‌ گرفتن كلید اختصاصی را ممكن سازند كه امكان بازیابی داده‌ها بدون پرداختن باج را ایجاد می‌كند.
«برای بازیابی داده‌های رمزگذاری شده توسط باج‌افزار Nevada باید كلید اختصاصی B و كلید عمومی A كه به انتهای فایل اضافه می‌شوند، Nonce مورد استفاده برای Salsa20 و اندازه‌ی فایل و الگوریتم به كار رفته برای انتخاب Stripeهایی كه رمزگذاری می‌شوند (كه ممكن است اندازه‌گیری یا تخمین زده شوند) را داشته باشیم.»

باج‌افزار Nevada همچنان درحال تشكیل شبكه اعضا و واسطه‌های دسترسی اولیه خود بوده و به دنبال هكرهای ماهر است. اپراتورهای باج‌افزار Nevada در حال خرید دسترسی به Endpointهای در معرض خطر و به كار گماشتن یك تیم پسااستخراج متعهد برای اجرای نفوذ مشاهده شده‌اند. محققان هشدار دادند كه این تهدید به نظر به رشد خود ادامه خواهد داد و باید به دقت پایش شود.
طبق تحقیقات فعلی، به نظر می‌رسد این كمپین‌های حمله از آسیب‌پذیری CVE-2021-21974 سوء استفاده می‌كنند، كه یك وصله برای آن از ۲۳ فوریه ۲۰۲۱ در دسترس است. اكیداً توصیه شده است كه این وصله را در اسرع وقت اعمال كنید، اما سیستم‌هایی كه وصله نشده‌اند نیز باید اسكن شوند تا شاید نشانه‌هایی از به خطر افتادن پیدا شود. برای مسدود كردن حملات ورودی، مدیران باید سرویس آسیب‌پذیر پروتكل موقعیت مكانی سرویس (SLP) را در هایپروایزرهای ESXi كه هنوز به‌روزرسانی نشده‌اند، غیرفعال كنند.

امتیاز این مقاله

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

مقالات مرتبط

فقط یک کلیک با درخواست دمو محصولات آی‌کن فاصله دارید!

برای کسب اطلاعات بیشتر و مشاوره رایگان با کارشناسان گروه مهندسی آی کن در ارتباط باشین!

درخواست دمو
گروه مهندسی آی کن

آی کن با ساختاری پایدار و قوی‌تر از همیشه امروز با افتخار راهکار جامع خود را بر اساس نیاز هر یک از مشتریان به عنوان یک راهکار در جهت برنامه ریزی و بهینه سازی سازمان ارائه می‌دهد

برخی از محصولات
لینک‌های مفید
تماس با آی کن
Instagram Linkedin-in icon--white Telegram

© کلیه حقوق این سایت متعلق به گروه مهندسی آی کن می‌باشد.

طراحی و توسعه:  توسط آژانس دیجیتال مارکتینگ شطرنج