ققنوس سفید: شکست رمزگذاری تناوبی
اخیراً ترند جدیدی به نام رمزگذاری متناوب در دنیای باج افزار ظهور پیداکرده. که در آن بخشی از فایلهای هدف رمزنگاری میشوند. بسیاری از گروههای باج افزاری نظیر Black Cat و Play از این رویکرد استفاده میکند.
بااینحال، رمزگذاری متناوب دارای نقص است. White Phoenix از این واقعیت استفاده میکند که آن فایلها کاملاً رمزگذاری نشدهاند و میتوانند در شرایط مناسب، برخی از محتوا را از قسمتهای رمزگذاری نشده فایلها نجات دهند. درحالیکه ما در درجه اول بر BlackCat تمرکز خواهیم کرد، مهم است که توجه داشته باشیم که White Phoenix در برابر سایر باج افزارها نیز مؤثر است.
رمزگذاری متناوب: چی؟ چرا؟ سازمان بهداشت جهانی؟
رمزگذاری متناوب زمانی است که باج افزار از رمزگذاری کل هر فایل صرفنظر میکند، در عوض فقط بخشی از هر فایل را رمزگذاری میکند، اغلب بلوکهایی با اندازه ثابت یا فقط ابتدای فایلهای هدف.
دلایل مختلفی وجود دارد که مهاجمان رمزگذاری متناوب را به رمزگذاری کامل ترجیح میدهند.
واضحترین آن سرعت است. ازآنجاییکه فایلها فقط تا حدی رمزگذاری میشوند، رمزگذاری متناوب به زمان کمتری برای هر فایل نیاز دارد و به باج افزار اجازه میدهد تا در زمان کمتری بر فایلهای بیشتری تأثیر بگذارد. این به این معنی است که حتی اگر باج افزار قبل از اجرای کامل متوقف شود، فایلهای بیشتری رمزگذاری میشوند که تأثیر مهمتری ایجاد میکند و احتمال اینکه باج افزار به فایلهای حیاتی آسیب برساند بیشتر میشود.
علاوه بر این، سرعت رمزگذاری نیز میتواند به عنوان یک نقطه فروش مورداستفاده قرار گیرد. ارائهدهندگان باج افزار میتوانند ادعا کنند که رمزگذاری سریعتری دارند تا مشتریان خود را متقاعد کنند که آنها را در مقایسه با سایر ارائهدهندگان انتخاب کنند.
علاوه بر این، برخی از مقدار محتوای نوشتهشده روی دیسک توسط فرآیندی در اکتشافات خود برای شناسایی باج افزار استفاده میکنند. با رمزگذاری متناوب، محتوای کمتری نوشته میشود، و بنابراین، احتمال کمتری وجود دارد که باج افزار توسط راهکارهای امنیتی شناسایی شود.
چندین گروه مختلف باج افزار از رمزگذاری متناوب استفاده کردهاند. درمجموع، تعداد قربانیان این گروههای باج افزار به صدها نفر میرسد (بر اساس اعداد موجود در سایتهای نشت مربوطه). قربانیان، سازمانهای مختلفی مانند بانکها، دانشگاهها و بیمارستانها را شامل میشوند. مسلماً قابلتوجهترین گروه باج افزار BlackCat (بانام مستعار ALPHV) است. این باج افزار ازنظر بسیاری پیچیدهترین باج افزار موجود در بازار است. این بدافزار ویژگیهای مختلفی برای توجیه این ادعا دارد، مانند:
این گروه یکی از اولین افرادی بودند که استفاده از زبان برنامهنویسی Rust را در نوشتن بدافزار با همراهی بدافزارهای قابلذکر مانند (FickerStealer) به کار گرفتند.
برای رمزگشایی پیکربندی بدافزار، نیاز به ورودی خاصی وجود دارد که بهعنوان یک تکنیک ضد تجزیهوتحلیل عمل میکند و همچنین تحلیل دینامیکی خودکار در فناوریهای مانند Cuckoo Sandbox و تحلیل استاتیکی خودکار مانند استخراج پیکربندی را جلوگیری میکند.
رمزگذاری تناوبی درواقع یک ویژگی است که بدافزار را مشهور میکند. بااینحال، این گروه باحالتهای رمزگذاری قابل پیکربندی قدم بعدی را برمیدارد که قوانینی را تعیین میکند که چه بخشهایی از هر فایل باید رمزگذاری شود.
