باج‌افزار Princess Evolution: ارائه بصورت سرویس باج‌افزاری

امتیاز کاربران

ستاره غیر فعالستاره غیر فعالستاره غیر فعالستاره غیر فعالستاره غیر فعال
 

باج‌افزار Princess Evolution: ارائه بصورت سرویس باج‌افزاری

q825

پژوهشگران TrendMicro از تاریخ ۲۵ جولای در حال بررسی اکسپلویت کیت RIG هستند که یک بدافزار کاوشگر ارز دیجیتالی و باج‌افزار GandCrab را منتقل می‌کنند. در اول آگوست مشاهده شد که اکسپلویت کیت RIG یک باج‌افزار ناشناخته را نیز ارسال می‌کند. پس از بررسی صفحه پرداخت این باج‌افزار در شبکه Tor، مشخص شد که نام آن Princess Evolution است و بنظر می‌رسد که نسخه تکامل یافته باج‌افزار Princess Locker است که در سال ۲۰۱۶ نمایان شد. با توجه به تبلیغاتی که از این باج‌افزار در فروم‌های زیرزمینی انجام شده است، بنظر می‌رسد که Princess Evolution به صورت (ransomware as a service (RaaS یا ارائه باج‌افزار در قالب سرویس ارائه می‌شود.

متن درخواست مبلغ باج Princess Evolution مشابه متن Princess Locker است. Princess Evolution فایل‌های روی سیستم را رمزگذاری می‌کند و پسوند آن‌ها را به یک رشته تصادفی تغییر می‌دهد. پس از رمزگذاری، باج‌افزار مبلغ ۰,۱۲ بیتکوین (حدود ۷۰۰ دلار) را برای بازیابی فایل درخواست می‌کند. همچنین در فروم‌های زیر زمینی در تاریخ ۳۱ جولای مشاهده شده است که نویسنده باج‌افزار ۴۰ درصد مبلغ باج دریافت شده از قربانیان را به عنوان کمیسون تعیین کرده است.
در فرایند رمزگذاری، بخش ابتدایی فایل توسط الگوریتم‌های XOR و AES و باقی داده فایل توسط AES رمزگذاری می‌شود. Princess Evolution به جای پروتکل HTTP POST از UDP برای برقراری ارتباط با سرور C&C استفاده می‌کند و از طریق UDP یک کلید XOR تصادفی را به همراه اطلاعات زیر به بازه شبکه ۱۶۷[.]۱۱۴[.]۱۹۵[.]۰/۲۳[:]۶۹۰۱ ارسال می‌کند:

• نام‌کاربری رایانه آلوده
• نام رابط شبکه فعال
• LCID یا (Locale ID سیستم )
• نسخه سیستم‌عامل
• شناسه قربانی
• نرم‌افزار امنیتی ثبت شده در ویندوز
• زمانی که برنامه اجرا شده است

IoCها:
• ۱۴۰۸a۲۴b۷۴۹۴۹۹۲۲cc۶۵۱۶۴eea۰۷۸۰۴۴۹c۲d۰۲bb۶۱۲۳fd۹۹۲b۲۳۹۷f۱۸۷۳afd۲۱
• ۹۸۱cf۷d۱b۱b۲c۲۳d۷۷۱۷ba۹۳a۵۰fc۱۸۸۹ae۷۸ee۳۷۸dbb۱cbfff۳fd۰fe۱۱d۰cbc
• ۶۵۰۲e۸d۹c۴۹cc۶۵۳۵۶۳ea۷۵f۰۳۹۵۸۹۰۰۵۴۳۴۳۰be۷b۹c۷۲e۹۳fd۶cf۰ebd۵۲۷۱bc

دامنه‌ها:
• greatchina[.]ga
• princessno۱[.]tk
• smokeweedeveryday[.]tk

آدرس‌های IP:
• hxxp://۱۸۸[.]۲۲۵[.]۳۴[.]۸۶
• hxxp://۱۷۸[.]۳۲[.]۲۰۱[.]۱۶۱

منبع:
https://blog.trendmicro.com/trendlabs-security-intelligence/ransomware-as-a-service-princess-evolution-looking-for-affiliates
منبع: مرکز مدیریت راهبردی افتا ریاست جمهوری