انتشار باج افزار در شبکه‌های اجتماعی توسط هکرهای فارسی‌زبان

ماهر| موجود بودن کدمنبع باج‌افزارها در فضای سایبری، این امکان را به مهاجمان با دانش متوسط داده که از طریق کلاهبرداری و همچنین با تکیه بر روش‌های مهندسی اجتماعی، به اهداف خرابکارانه خود دست یابند؛ فعالیت اخیر برخی مهاجمان در شبکه‌های اجتماعی از آن جمله است.

مشاهده و رصد فضای سایبری در زمینه باج‌افزار، از ظهور فعالیت سایبری جدید مهاجمان فارسی‌زبان در شبکه‌های اجتماعی در زمینه توسعه و انتشار باج‌افزار خبر می‌دهد. طبق آخرین مشاهدات صورت‌گرفته، این فعالیت در قالب RaaS (باج‌افزار به عنوان یک سرویس) در گروه‌ها و کانال‌های تلگرامی در حال شکل‌گیری و رشد بوده است.

با توجه اینکه امروزه کد منبع اغلب باج‌افزارها در فضای سایبری (از جمله وب تاریک) موجود بوده و قابل سفارشی‌سازی است، معمولاً مهاجمان با دانش متوسط از طریق کلاهبرداری و اخذ مبالغ هنگفت از کاربران ناآگاه و همچنین با تکیه بر روش‌های مهندسی اجتماعی، برای نیل به اهداف خرابکارانه خود از آنها بهره می‌برند.

یکی از فعالیت‌های اخیر این افراد در شبکه‌های اجتماعی فارسی‌زبان تحت عنوان پروژه BlackRouter Dark Ransomware شناخته شده است. البته فعالیت این پروژه اکنون متوقف شده است. پروژه BlackRouter Dark Ransomware برای اولین‌بار در دی‌ماه سال جاری، توسط یکی از کاربران در شبکه اجتماعی توئیتر مطرح شد. پس از بررسی‌های صورت‌گرفته و جست‌وجو در فضای وب، تبلیغات مرتب با این موضوع در یکی از کانال‌های تلگرامی که در زمینه انتشار انواع نرم‌افزارهای غیرقانونی قفل‌شکن، فیلترشکن و … فعالیت داشت، مشاهده شد.بر اساس شواهد به دست‌آمده توسط مرکز ماهر (مدیریت امداد و هماهنگی رخدادهای رایانه‌ای)، کاربر مذکور (مهاجم) قصد داشت پروژه خود را در قالب RaaS (باج‌افزار به عنوان سرویس) با همکاری مهاجمان همکار و تولیدکننده زیرساخت حمله) انتشار و گسترش دهد. بررسی‌ها نشان می‌دهد که مهاجم برای مدیریت باج‌افزار و اعضای گروه خود، دو کانال تلگرامی راه‌اندازی کرده است.در کانال اول، نمونه‌های باج‌افزار سفارشی‌سازی‌شده هر یک از اعضا با نام مستعار آنها، در اختیار آنان قرار می‌گیرد. اما در کانال دوم که BlackRouter Target Logs نام دارد، رباتی تعبیه شده که از آن به منظور دریافت اطلاعات سیستم قربانی استفاده می‌شود.گروه اصلی پروژه BlackRouter Dark Ransomware در زمان شروع حمله ۵۵ عضو داشت. این بدین معناست که ۵۵ نمونه فایل باج‌افزار مختلف اما با ویژگی‌های مشابه، برای اعضای گروه سفارشی‌سازی شده و در حال انتشار در فضای اینترنت بود. با تبلیغات گسترده‌ای که انجام شد، تعداد اعضا به سرعت در حال افزایش بود. مدیر گروه مذکور ضمن پاسخگویی به سوالات اعضای گروه در خصوص پروژه، تأکید زیادی بر استفاده از باج‌افزار خود در اهداف خارج از کشور داشت. از هر یک از اعضا به محض ورود به گروه و اعلام مشارکت در پروژه، یک نام مستعار و یک آدرس کیف پول بیت‌کوین اخذ می‌شد. بعداً از این اطلاعات به منظور سفارشی‌سازی نمونه باج‌افزار برای اعضا استفاده می‌شد.همچنین بررسی‌های صورت‌گرفته نشان می‌دهد که توسعه‌دهندگان باج‌افزار مذکور، تیمی متشکل از چند نفر هستند. طبق اظهارات مدیر گروه، تیم مذکور با توسعه‌دهندگان باج‌افزار معروف GandCrab نیز در ارتباط بوده و احتمالاً از دانش آنان برای توسعه باج‌افزار خود بهره می‌برند. به این موضوع بارها در گروه اشاره شده، اما صحت و سقم این ادعا هنوز مشخص نیست.نکته قابل ملاحظه‌ای که درباره نحوه انتشار باج‌افزار BlackRouter وجود دارد، این است که ابزاری به نام Celesty Binder توسط توسعه‌دهندگان باج‌افزار در گروه به اشتراک گذاشته شد که اعضا به کمک آن قادر بودند نمونه باج‌افزار خود را در پوشش هر فایل یا نرم‌افزار دلخواه خود، ادغام و منتشر کنند.مشاهدات حاکی از آن است که در بین اعضای گروه، کاربرانی با دانش هک و کرک وجود دارند که از این باج‌افزار برای پیش‌برد اهداف خرابکارانه خود از جمله خودنمایی، انتقام‌جویی و کسب درآمد بهره می‌برند. به‌گونه‌ای که تنها پس از گذشت ۱۸ ساعت از انتشار باج‌افزار، تعداد ۴۵ سرور مختلف در فضای اینترنت، ابتدا توسط اعضا مورد نفوذ قرار گرفته و سپس اطلاعات آنها رمزگذاری شد.باج‌افزار BlackHeart از خانواده باج‌افزار BlackRouter بوده که برای نخستین‌بار در اواخر ماه آوریل سال ۲۰۱۸ میلادی مشاهده شد. بر اساس بررسی‌های صورت‌گرفته، به نظر می‌رسد باج‌افزار BlackHeart بسیار شبیه کدهای باج‌افزار Spartacus است. کارشناسان بر این باورند که کد منبع باج‌افزار Spartacus که در اوایل ماه آوریل ۲۰۱۸ شروع به فعالیت کرد، به‌صورت کیت‌های سازنده (Builder Kit) در دارکوب موجود است و افراد می‌توانند با استفاده از آن، باج‌افزاری شبیه باج‌افزار اصلی ولی با ویژگی‌های متفاوت بسازند.بررسی بیشتر کدهای باج‌افزار BlackRouter نشان می‌دهد که مهاجمان از یک App در داخل این باج‌افزار استفاده کرده‌اند. هدف از گنجاندن اپلیکیشن در داخل برنامه، برقراری ارتباط با قربانیان از طریق ربات یا موارد مشابه است.

بر اساس پیغام باج‌خواهی، دو مبلغ و دو کیف پول مختلف برای پرداخت باج در نظر گرفته شده است. کیف پول اول متعلق به توسعه‌دهنده باج‌افزار و کیف پول دوم متعلق به فرد منتشرکننده است. پس از پرداخت مبالغ باج ۱۰۰ و ۲۰۰ دلار در آدرس کیف پول‌های تعیین‌شده و بعد از وارد کردن ای‌میل در کادر مشخص‌شده ابزار رمزگشایی در اختیار قربانی قرار می‌گیرد. مهلت پرداخت باج دو روز در نظر گرفته شده است و پس از آن مبلغ باج‌خواهی دوبرابر می‌شود. قربانیان باید مبلغ باج ۱۰۰ دلار را به آدرس کیف پول اول و ۲۰۰ دلار را به آدرس کیف پول دوم ارسال کنند.