هشدارهای افتایی
اگر چه ProLock بدافزار نسبتاً جدیدی در صحنه باج‌افزارها محسوب می‌شود اما به دلیل هدف قرار دادن کسب‌وکارها و سازمان‌های دولتی و اخاذی مبالغ هنگفت از آنها به‌سرعت در حال معروف شدن است.
به گزارش معاونت بررسی مرکز افتا، به نقل از پایگاه اینترنتی BleepingComputer ، شرکتDiebold Nixdorf، یک شرکت آلمانی فعال در حوزه فناوری اطلاعات، از جمله جدیدترین قربانیان ProLock است. علیرغم آنکه حمله ProLock به این سازنده تجهیزات خودپرداز پیش از شروع رمزگذاری و دست‌درازی به فایل ها کشف شد اما موجب بروز اختلالاتی در شبکه این شرکت گردید.
این باج‌افزار، نخست با نام PwndLocker ظهور کرد. اما از ماه مارس و پس از ترمیم باگی در آن که امکان رمزگشایی رایگان فایل‌ها را فراهم می‌کرد به ProLocker تغییر نام داد.
اکنون شرکت Group-IB در گزارشی به بررسی این باج‌افزار پرداخته است.
گردانندگان ProLock بسته به اندازه شبکه قربانی مبالغی بین 175 هزار تا 660 هزار دلار را از قربانیان خود اخاذی می‌کنند.
مهارت مهاجمان ProLock و تکنیک‌های مورد استفاده آنها مشابه با روش کار گروه‌های سرشناس باج‌افزاری نظیر Sodinokibi و Maze است. با این حال،  حتی مهاجمان حرفه‌ای نیز در مراحلی همچون توزیع، رخنه اولیه و حرکات جانبی از هکرهای مستقل پشتیبانی می‌گیرند.
ProLock برای رخنه به اهداف خود از دو روش استفاده می‌کند. اولین روش، توزیع از طریق QakBot – که با نام QBot نیز شناخته می‌شود – است. QakBot پیش‌تر نیز در انتشار باج‌افزار MegaCortex نقش داشت.
دومین روش، حمله به سرورهای با پودمان RDP باز و قابل دسترس بر روی اینترنت است. دسترسی از طریق RDP به تکنیکی متداول میان گردانندگان باج‌افزار تبدیل شده است. معمولاً دسترسی به سرورهای با RDP باز از گروه‌های ثالت خریداری می‌شود اما در مواقعی نیز مهاجمان خود اقدام به هک این سرورها می‌کنند.
استفاده ProLock از QakBot برای دسترسی به شبکه قربانی را می‌توان مشابه با مشارکت Ryuk با TrickBot و DoppelPaymer/BitPaymer با Dridex دانست.
QakBot یک تروجان بانکی است که از طریق کارزارهای فیشینگ و در قالب اسناد مخرب Microsoft Word که معمولاً به سازمان‌ها ارسال می‌شوند منتشر می‌شود. Emotet نیز در مواردی در ناقل این بدافزار بوده است.
QakBot و ProLock هر دو از پروسه معتبر PowerShell برای دریافت کد مخرب اولیه بدافزار استفاده می‌کنند. 
بدافزار بانکی توسط ماکروهای مخرب بر روی دستگاه قربانی دریافت و نصب می‌شود. اما کد باج‌افزار از یک فایل تصویری JPG یا BMP استخراج می‌شود.
اگر گردانندگان ProLock از دسترسی RDP برای دستیابی به شبکه قربانی استفاده کنند ماندگاری معمولاً از طریق حساب‌های کاربری معتبر برقرار می‌شود. اما در روش انتشار از طریق QakBot از چندین روش از جمله ساخت کلیدهای Run و فرامین زمانبندی‌شده (Scheduled Task) استفاده می‌شود.
فراهم کردن بستر برای ProLock توسط QakBot حدود یک هفته طول می‌کشد. تروجان باج‌افزار را نصب نمی‌کند. اما در عین حال اسکریپت‌های موسوم به Batch را از انباره های ذخیره سازی ابری دریافت و اجرا می کند.
پس از دستیابی به اطلاعات اصالت‌سنجی برخی سرورها حرکات جانبی آغاز می‌شود. مهاجمان اسکریپت‌های خود را با بهره‌گیری از ابزار معتبر PsExec بر روی دستگاه‌های مقصد در شبکه قربانی اجرا می‌کنند. 
گردانندگان یک اسکریپت PowerShell را برای استخراج ProLock که کد دودویی آن در یک فایل تصویری جاسازی شده اجرا کرده و باج‌افزار را بر روی سیستم های قابل دسترس توزیع می‌کنند.
برای توزیع از WMIC استفاده می‌شود.
گردانندگان ProLock داده‌ها را از روی یک شبکه هک شده سرقت می‌کنند. بدین‌منظور فایل‌ها با استفاده از 7-Zip فشرده شده و از طریق Rclone به چندین انباره ابری (OneDrive، Google Drive، Mega) ارسال می‌شود. Rclone یک برنامه خط فرمانی برای همسان‌سازی داده‌ها با سرویس‌های ذخیره‌سازی ابری است.
باج افزار پسوندهایی خاص (proLock، pr0Lock، proL0ck، key یا pwnd) را به فایل‌های رمزگذاری شده الصاق کرده و در هر پوشه فایلی متنی که حاوی دستورالعمل بازگردانی فایل‌هاست کپی می‌کند.
 

به‌نظر نمی‌رسد که حداقل در حال حاضر امکان رمزگشایی رایگان این باج‌افزار امکان‌پذیر باشد. هر چند که این موضوع ممکن است در آینده‌ای نزدیک تغییر کند.
مشروح گزارش Group-IB در لینک زیر قابل دریافت و مطالعه است:
https://www.group-ib.com/blog/prolock
منبع:
(با سپاس از همکاری شرکت مهندسی شبکه گستر در تهیه این گزارش)
 

 
امتیاز دهی
 
 

  • ارسال به دوستان
نام ارسال کننده :  
ایمیل ارسال کننده:
نام دریافت کننده :
ایمیل دریافت کننده :  
موضوع ایمیل :
کد تصویری :
 
 
امتیاز دهی
 
 


آدرس:
تهران، خیابان استاد شهید مطهری، خیابان میرزای شیرازی، کوچه شهدا، پلاک یک، مرکز مدیریت راهبردی افتا


ایمیل:
info@afta.gov.ir

.