White Phoenix

ققنوس سفید: شکست رمزگذاری تناوبی

اخیراً ترند جدیدی به نام رمزگذاری متناوب در دنیای باج افزار ظهور پیداکرده. که در آن بخشی از فایل‌های هدف رمزنگاری می‌شوند. بسیاری از گروه‌های باج افزاری نظیر Black Cat و Play از این رویکرد استفاده می‌کند.

بااین‌حال، رمزگذاری متناوب دارای نقص است. White Phoenix از این واقعیت استفاده می‌کند که آن فایل‌ها کاملاً رمزگذاری نشده‌اند و می‌توانند در شرایط مناسب، برخی از محتوا را از قسمت‌های رمزگذاری نشده فایل‌ها نجات دهند. درحالی‌که ما در درجه اول بر BlackCat تمرکز خواهیم کرد، مهم است که توجه داشته باشیم که White Phoenix در برابر سایر باج افزارها نیز مؤثر است.

رمزگذاری متناوب: چی؟ چرا؟ سازمان بهداشت جهانی؟

رمزگذاری متناوب زمانی است که باج افزار از رمزگذاری کل هر فایل صرف‌نظر می‌کند، در عوض فقط بخشی از هر فایل را رمزگذاری می‌کند، اغلب بلوک‌هایی با اندازه ثابت یا فقط ابتدای فایل‌های هدف.

دلایل مختلفی وجود دارد که مهاجمان رمزگذاری متناوب را به رمزگذاری کامل ترجیح می‌دهند.

واضح‌ترین آن سرعت است. ازآنجایی‌که فایل‌ها فقط تا حدی رمزگذاری می‌شوند، رمزگذاری متناوب به زمان کمتری برای هر فایل نیاز دارد و به باج افزار اجازه می‌دهد تا در زمان کمتری بر فایل‌های بیشتری تأثیر بگذارد. این به این معنی است که حتی اگر باج افزار قبل از اجرای کامل متوقف شود، فایل‌های بیشتری رمزگذاری می‌شوند که تأثیر مهم‌تری ایجاد می‌کند و احتمال اینکه باج افزار به فایل‌های حیاتی آسیب برساند بیشتر می‌شود.

علاوه بر این، سرعت رمزگذاری نیز می‌تواند به عنوان یک نقطه فروش مورداستفاده قرار گیرد. ارائه‌دهندگان باج افزار می‌توانند ادعا کنند که رمزگذاری سریع‌تری دارند تا مشتریان خود را متقاعد کنند که آن‌ها را در مقایسه با سایر ارائه‌دهندگان انتخاب کنند.

علاوه بر این، برخی از مقدار محتوای نوشته‌شده روی دیسک توسط فرآیندی در اکتشافات خود برای شناسایی باج افزار استفاده می‌کنند. با رمزگذاری متناوب، محتوای کمتری نوشته می‌شود، و بنابراین، احتمال کمتری وجود دارد که باج افزار توسط راه‌کارهای امنیتی شناسایی شود.

چندین گروه مختلف باج افزار از رمزگذاری متناوب استفاده کرده‌اند. درمجموع، تعداد قربانیان این گروه‌های باج افزار به صدها نفر می‌رسد (بر اساس اعداد موجود در سایت‌های نشت مربوطه). قربانیان، سازمان‌های مختلفی مانند بانک‌ها، دانشگاه‌ها و بیمارستان‌ها را شامل می‌شوند. مسلماً قابل‌توجه‌ترین گروه باج افزار BlackCat (بانام مستعار ALPHV) است. این باج افزار ازنظر بسیاری پیچیده‌ترین باج افزار موجود در بازار است. این بدافزار ویژگی‌های مختلفی برای توجیه این ادعا دارد، مانند:

این گروه یکی از اولین افرادی بودند که استفاده از زبان برنامه‌نویسی Rust را در نوشتن بدافزار با همراهی بدافزارهای قابل‌ذکر مانند (FickerStealer) به کار گرفتند.

برای رمزگشایی پیکربندی بدافزار، نیاز به ورودی خاصی وجود دارد که به‌عنوان یک تکنیک ضد تجزیه‌وتحلیل عمل می‌کند و همچنین تحلیل دینامیکی خودکار در فناوری‌های مانند Cuckoo Sandbox و تحلیل استاتیکی خودکار مانند استخراج پیکربندی را جلوگیری می‌کند.

رمزگذاری تناوبی درواقع یک ویژگی است که بدافزار را مشهور می‌کند. بااین‌حال، این گروه باحالت‌های رمزگذاری قابل پیکربندی قدم بعدی را برمی‌دارد که قوانینی را تعیین می‌کند که چه بخش‌هایی از هر فایل باید رمزگذاری شود.

منبع