امنیت

فناوری اطلاعات

September 6, 2022
19:25 سه شنبه، 15ام شهریورماه 1401
کد خبر: 138823

سیستم‌های عامل ویندوز، قربانیان باج افزار نوظهور

باج‌افزار BlueSky که از روش‌های مدرن برای فرار از ابزار دفاع امنیتی استفاده می‌کند، سیستم‌ عامل ویندوز را هدف قرار داده و از تکنیک چندنخی(Multithreading) برای رمزگذاری فایل‌های سیستم هدف استفاده می‌کند.
باج‌افزار BlueSky پس از رمزگذاری، پسوند فایل‌های رمزگذاری‌شده را به پسوند فایل bluesky تغییر می‌دهد و مهاجمان به قربانیان اعلام می‌کنند که برای رمزگشایی فایل‌های خود باید نرم‌افزار ویژه  BlueSky DECRYPTOR  آنان را خریداری کنند و پرداخت  فقط با بیت‌کوین انجام می‌شود؛ در صورتی که قربانیان به درخواست مهاجمان مبنی بر پرداخت بیت کوین، اعتنایی نکنند، کلید خصوصی قربانیان برای بازیابی اسناد، عکس‌ها، پایگاه داده‌ها و سایر فایل‌های مهم سیستم‌های قربانی، در ۱۳ روز و ۲۳ ساعت و ۵۹ دقیقه و ۵۶ ثانیه برای همیشه از بین می‌رود.
 
بر اساس تحقیقات انجام‌گرفته در رابطه با شناسایی رفتار این باج‌افزار، معماری رمزگذاری چند نخی دارای شباهت‌هایی با کد نسخه ۳ باج‌افزار Conti بوده و زیربرنامه‌هایی (ماژول‌ها) که برای جست‌وجوی شبکه استفاده شده‌اند، یک رونوشت دقیق از این باج افزار است. باج افزار BlueSky  پس از رمزگذاری اسناد، عکس‌ها، پایگاه داده‌ها و سایر فایل‌های مهم قربانیان، برای رمزگشایی درخواست بیت کوین می‌کند.
 
کارشناسان مرکز مدیریت راهبردی افتا می‌گویند باج افزار BlueSky چندین تکنیک مقابله با تجزیه‌وتحلیل، را پیاده‌سازی می‌کند که به آن اجازه می‌دهد نام‌های عملکرد رابط‌های برنامه نویسی ویندوز (Windows API)را مبهم کند. رمزگذاری رشته، مبهم‌سازی API و مکانیسم‌های ضداشکال‌زدایی نمونه ای از این تکنیک‌ها است.
 
علاوه بر این، BlueSky نام‌های رابط‌های برنامه نویسی (API)را با استفاده شیوه‌ای خاص، رمزگذاری می‌کند و مانع از تجزیه‌وتحلیل بدافزار می‌شود. برخلاف سایر باج افزارها که معمولا حاوی لیستی از پسوندهای مجاز برای شناسایی فایل‌های واجد شرایط برای رمزگذاری هستند، BlueSky شامل لیستی از پسوندهای غیرمجاز است. باج افزار BlueSky از یک صف چند رشته‌ای برای رمزگذاری استفاده می‌کند؛ چندین رشته را شروع می‌کند؛ یکی مسئول رمزگذاری فایل و دیگری برای شمارش فایل‌ها در سیستم فایل محلی و اشتراک‌گذاری‌های شبکه برای اضافه شدن به صف خواهد بود.
 
طبق اعلام مرکز مدیریت راهبردی افتا، نویسندگان باج‌افزار از تکنیک‌های پیشرفته و مدرن مانند رمزگذاری نمونه‌های مخرب یا تحویل و بارگیری باج‌افزار چند مرحله‌ای برای فرار از دفاع امنیتی استفاده می‌کنند.
این باج افزار قادر است فایل‌ها را روی میزبان‌ها با سرعت بالا و محاسبات چند رشته‌ای رمزگذاری کند؛ علاوه بر این، باج‌افزار از تکنیک‌های مبهم‌سازی مانند هش کردن رابط‌های برنامه نویسی (API)استفاده می‌کند تا تحلیل‌گر نتواند فرآیند مهندسی معکوس را به سرعت انجام دهد. این احتمال وجود دارد که حملات باج‌افزار با تکنیک‌های رمزگذاری پیشرفته و مکانیسم‌های تحویل، افزایش یابد.
  • مشترک شوید!

    برای عضویت در خبرنامه روزانه ایستنا؛ نشانی پست الکترونیکی خود را در فرم زیر وارد نمایید. پس از آن به صورت خودکار ایمیلی به نشانی شما ارسال میشود، برای تکمیل عضویت خود و تایید صحت نشانی پست الکترونیک وارد شده، می بایست بر روی لینکی که در این ایمیل برایتان ارسال شده کلیک نمایید. پس از آن پیامی مبنی بر تکمیل عضویت شما در خبرنامه روزانه ایستنا نمایش داده میشود.

    با عضویت در خبرنامه پیامکی آژانس خبری فناوری اطلاعات و ارتباطات (ایستنا) به طور روزانه آخرین اخبار، گزارشها و تحلیل های حوزه فناوری اطلاعات و ارتباطات را در هر لحظه و هر کجا از طریق پیام کوتاه دریافت خواهید کرد. برای عضویت در این خبرنامه، مشترکین سیمکارت های همراه اول لازم است عبارت 150 را به شماره 201464 و مشترکین سیمکارت های ایرانسل عبارت ozv ictn را به شماره ۸۲۸۲ ارسال کنند. دریافت موفق هر بسته خبری که محتوی پیامکی با حجم ۵پیامک بوده و ۴ تا ۶ عنوان خبری را شامل میشود، ۳۵۰ ریال برای مشترک هزینه در بردارد که در صورتحساب ارسالی از سوی اپراتور مربوطه محاسبه و از اعتبار موجود در حساب مشترکین سیمکارت های دائمی کسر میشود. بخشی از این درآمد این سرویس از سوی اپراتور میزبان شما به ایستنا پرداخت میشود. مشترکین در هر لحظه براساس دستورالعمل اعلامی در پایان هر بسته خبری قادر خواهند بود اشتراک خود را در این سرویس لغو کنند. هزینه دریافت هر بسته خبری برای مشترکین صرفا ۳۵۰ ریال خواهد بود و این هزینه برای مشترکین در حال استفاده از خدمات رومینگ بین الملل اپراتورهای همراه اول و ایرانسل هم هزینه اضافه ای در بر نخواهد داشت.