موجود بودن کدمنبع باجافزارها در فضای سایبری، این امکان را به مهاجمان با دانش متوسط داده که از طریق کلاهبرداری و همچنین با تکیه بر روشهای مهندسی اجتماعی، به اهداف خرابکارانه خود دست یابند.
موجود بودن کدمنبع باجافزارها در فضای سایبری، این امکان را به مهاجمان با دانش متوسط داده که از طریق کلاهبرداری و همچنین با تکیه بر روشهای مهندسی اجتماعی، به اهداف خرابکارانه خود دست یابند؛ فعالیت اخیر برخی مهاجمان فارسیزبان در شبکههای اجتماعی از آن جمله است.
مشاهده و رصد فضای سایبری در زمینه باجافزار، از ظهور فعالیت سایبری جدید مهاجمان فارسیزبان در شبکههای اجتماعی در زمینه توسعه و انتشار باجافزار خبر میدهد. طبق آخرین مشاهدات صورتگرفته، این فعالیت در قالب RaaS (باجافزار بهعنوان یک سرویس) در گروهها و کانالهای تلگرامی در حال شکلگیری و رشد بوده است.
با توجه اینکه امروزه کد منبع اغلب باجافزارها در فضای سایبری (از جمله وب تاریک) موجود بوده و قابل سفارشیسازی است، معمولاً مهاجمان با دانش متوسط از طریق کلاهبرداری و اخذ مبالغ هنگفت از کاربران ناآگاه و همچنین با تکیه بر روشهای مهندسی اجتماعی، برای نیل به اهداف خرابکارانه خود از آنها بهره میبرند.
یکی از فعالیتهای اخیر این افراد در شبکههای اجتماعی فارسیزبان تحت عنوان پروژه BlackRouter Dark Ransomware شناخته شده است. البته فعالیت این پروژه اکنون متوقف شده است. پروژه BlackRouter Dark Ransomware برای اولین بار در دیماه سال جاری، توسط یکی از کاربران در شبکه اجتماعی توئیتر مطرح شد. پس از بررسیهای صورتگرفته و جستوجو در فضای وب، تبلیغات مرتب با این موضوع در یکی از کانالهای تلگرامی که در زمینه انتشار انواع نرمافزارهای غیرقانونی قفلشکن، فیلترشکن و … فعالیت داشت، مشاهده شد.
بر اساس شواهد بهدستآمده توسط مرکز ماهر (مدیریت امداد و هماهنگی رخدادهای رایانهای)، کاربر مذکور (مهاجم) قصد داشت پروژه خود را در قالب RaaS (باجافزار به عنوان سرویس) با همکاری مهاجمان همکار و تولیدکننده زیرساخت حمله) انتشار و گسترش دهد. بررسیها نشان میدهد که مهاجم برای مدیریت باجافزار و اعضای گروه خود، دو کانال تلگرامی راهاندازی کرده است.
در کانال اول، نمونههای باجافزار سفارشیسازیشده هر یک از اعضا با نام مستعار آنها، در اختیار آنان قرار میگیرد. اما در کانال دوم که BlackRouter Target Logs نام دارد، رباتی تعبیه شده که از آن به منظور دریافت اطلاعات سیستم قربانی استفاده میشود.
گروه اصلی پروژه BlackRouter Dark Ransomware در زمان شروع حمله ۵۵ عضو داشت. این بدین معناست که ۵۵ نمونه فایل باجافزار مختلف اما با ویژگیهای مشابه، برای اعضای گروه سفارشیسازی شده و در حال انتشار در فضای اینترنت بود. با تبلیغات گستردهای که انجام شد، تعداد اعضا به سرعت در حال افزایش بود. مدیر گروه مذکور ضمن پاسخگویی به سوالات اعضای گروه در خصوص پروژه، تأکید زیادی بر استفاده از باجافزار خود در اهداف خارج از کشور داشت. از هر یک از اعضا به محض ورود به گروه و اعلام مشارکت در پروژه، یک نام مستعار و یک آدرس کیف پول بیتکوین اخذ میشد. بعداً از این اطلاعات به منظور سفارشیسازی نمونه باجافزار برای اعضا استفاده میشد.
همچنین بررسیهای صورتگرفته نشان میدهد که توسعهدهندگان باجافزار مذکور، تیمی متشکل از چند نفر هستند. طبق اظهارات مدیر گروه، تیم مذکور با توسعهدهندگان باجافزار معروف GandCrab نیز در ارتباط بوده و احتمالاً از دانش آنان برای توسعه باجافزار خود بهره میبرند. به این موضوع بارها در گروه اشاره شده، اما صحت و سقم این ادعا هنوز مشخص نیست.
نکته قابل ملاحظهای که درباره نحوه انتشار باجافزار BlackRouter وجود دارد، این است که ابزاری به نام Celesty Binder توسط توسعهدهندگان باجافزار در گروه به اشتراک گذاشته شد که اعضا به کمک آن قادر بودند نمونهی باجافزار خود را در پوشش هر فایل یا نرمافزار دلخواه خود، ادغام و منتشر کنند.
مشاهدات حاکی از آن است که در بین اعضای گروه، کاربرانی با دانش هک و کرک وجود دارند که از این باجافزار برای پیشبرد اهداف خرابکارانه خود از جمله خودنمایی، انتقامجویی و کسب درآمد بهره میبرند. بهگونهای که تنها پس از گذشت ۱۸ ساعت از انتشار باجافزار، تعداد ۴۵ سرور مختلف در فضای اینترنت، ابتدا توسط اعضا مورد نفوذ قرار گرفته و سپس اطلاعات آنها رمزگذاری شد.
باجافزار BlackHeart از خانواده باجافزار BlackRouter بوده که برای نخستین بار در اواخر ماه آوریل سال ۲۰۱۸ میلادی مشاهده شد. بر اساس بررسیهای صورتگرفته، به نظر میرسد باجافزار BlackHeart بسیار شبیه کدهای باجافزار Spartacus است. کارشناسان بر این باورند که کد منبع باجافزار Spartacus که در اوایل ماه آوریل ۲۰۱۸ شروع به فعالیت کرد، بهصورت کیتهای سازنده (Builder Kit) در دارکوب موجود است و افراد میتوانند با استفاده از آن، باجافزاری شبیه باجافزار اصلی ولی با ویژگیهای متفاوت بسازند.
بررسی بیشتر کدهای باجافزار BlackRouter نشان میدهد که مهاجمان از یک App در داخل این باجافزار استفاده کردهاند. هدف از گنجاندن اپلیکیشن در داخل برنامه، برقراری ارتباط با قربانیان از طریق ربات و یا موارد مشابه است.
بر اساس پیغام باجخواهی، دو مبلغ و دو کیف پول مختلف برای پرداخت باج در نظر گرفته شده است. کیف پول اول متعلق به توسعهدهنده باجافزار و کیف پول دوم متعلق به فرد منتشرکننده است. پس از پرداخت مبالغ باج ۱۰۰ و ۲۰۰ دلار در آدرس کیف پولهای تعیینشده و بعد از وارد کردن ایمیل در کادر مشخصشده ابزار رمزگشایی در اختیار قربانی قرار میگیرد. مهلت پرداخت باج دو روز در نظر گرفته شده است و پس از آن مبلغ باجخواهی دوبرابر میشود. قربانیان باید مبلغ باج ۱۰۰ دلار را به آدرس کیف پول اول و ۲۰۰ دلار را به آدرس کیف پول دوم ارسال کنند.