مقدمه
باجافزار جدیدی که تحت عنوان Nevada شناخته میشود، در حال گسترش قابلیتهای خود است و در همین حین محققان امنیتی در تحقیقات خود متوجه ارتقای عملکرد locker هایی شدند که سیستمهای Windows و VMware ESXi را هدف قرار میدهند. باجافزار Nevada تبدیل به یکی از موضوعات داغ در دنیای امنیت سایبری شده است.
از سرگیری فعالیت باجافزار Nevada
باجافزار نوادا از تاریخ 10 دسامبر 2022 در انجمنهای دارکنت RAMP تبلیغ شد و از مجرمان سایبری روسی و چینیزبان دعوت کرد تا برای دریافت تا سقف 85 درصد از باجهای پرداخت شده به آن بپیوندند.
برای آن دسته از شرکتهای وابسته که قربانیان بیشتری به دام میاندازند، Nevada اعلام کرده که سهم پرداختی آنها را به 90 درصد افزایش میدهد. RAMP قبلا به عنوان فضایی معرفی شده بود که هکرهای روسی و چینی در آن به تبلیغ عملیان و جرایم سایبری خود میپرداختند یا با همتایان و همکاران خود ارتباط برقرار میکردند.
باج افزار Nevada دارای یک locker مبتنی بر Rust، پورتال چت آنلاین، domain مجزا در شبکه Tor برای افرادی که در این زمینه فعالیت میکنند و همچنین قربانیان است.
محققان امنیتی اخیرا این بدافزار جدید را تجزیه و تحلیل کرده و گزارشی از یافتههای خود منتشر کردند. این محققان میگویند که در حالی که باج افزار Nevada به صراحت عنوان کرده به دنبال حذف شرکتهای وابسته انگلیسی زبان است، اپراتورها آماده انجام کار با کارگزاران تایید شده از هر نقطهی دنیا هستند.
باجافزار Nevada که بر روی دستگاههایی با سیستم عامل ویندوز تمرکز دارد و از طریق کنسول ویندوز اجرا میشود، از مجموعهای از flag پشتیبانی میکند که به اپراتورهای خود توانایی کنترل فرایند encryption را میدهد.
-file > encrypt selected file
-dir > encrypt selected directory
-sd > self-delete after everything done
-sc > delete shadow copies
-lhd > load hidden drives
-nd > find and encrypt network shares
-sm > safe mode encryption
یکی از ویژگیهای جالب باجافزار Nevada، وجود مجموعهای از زبانهای سیستمی است که از فرآیند Encryption توسط این باج افزاردر امان است. به طور معمول، باندهای باجافزاری، قربانیانی که مستقر در روسیه و کشورهای مستقل مشترک المنافع هستند، حذف میکنند. با این حساب، لیست قربانیان بدافزار به آلبانی، مجارستان، ویتنام، مالزی، تایلند، ترکیه و ایران گسترش مییابد.
در این حال، payload از MPR.dll برای جمع آوری اطلاعات در مورد منابع شبکه استفاده میکند و دایرکتوریهای مشترک را در صف رمزگذاری قرار میدهد. به هر درایو، از جمله درایوهای مخفی، یک حرف اختصاص داده میشود و تمام فایلهای موجود در آنها نیز به صف رمزگذاری اضافه میشوند.
پس از این مرحله، encryptor به عنوان یک سرویس نصب میشود و سپس سیستم آسیب دیده با اتصال شبکه فعال به safe mode ویندوز راه اندازی مجدد میشود.
این locker از الگوریتم Salsa20 برای انجام رمزگذاری متناوب روی فایلهای بزرگتر از 512 کیلوبایت برای رمزگذاری سریعتر استفاده میکند.
فایلهای اجرایی، DLL، LNK، SCR، URLها و فایلهای INI در پوشههای ویندوز و فایلهای برنامه کاربر از رمزگذاری exclude میشوند تا میزبان unbootable نشود.
به فایلهای رمزگذاریشده پسوند فایل “.NEVADA” اضافه میشود و هر پوشه حاوی یک یادداشت از جانب باجگیر است که به قربانیان پنج روز فرصت میدهد تا خواستههای باجگیر را برآورده کنند، در غیر این صورت دادههای آنها در وبسایت نشت دادههای Nevada منتشر میشود.
هدف قرار دادن سیستمهای VMware ESXi
نسخه Linux/VMware ESXi باجافزار Nevada از همان الگوریتم رمزگذاری (Salsa20) مانند نسخه ویندوز استفاده میکند.
رمزگذار لینوکس نیز از سیستم رمزگذاری متناوب پیروی میکند، یعنی رمزگذاری کامل (full encryption) فقط برای فایلهای کوچکتر از 512 کیلوبایت انجام میشود.
محققان متوجه شدند که احتمالا به دلیل وجود نوعی اشکال در نسخه لینوکس، باجافزار نوادا از رمزگذاری فایلهایی با حجم بین 512 کیلوبایت تا 1.25 مگابایت چشم پوشی میکند.
locker لینوکس از توابع زیر پشتیبانی میکند:
-help > help
-daemon > creation and launch of a ‘nevada’ service
-file > encrypt particular file
-dir > encrypt particular folder
-esxi > disable all virtual machines
در سیستمهای لینوکس، public key در انتهای فایل رمزگذاری شده در قالب 38 بایت اضافی ذخیره میشود.
Resecurity میگوید که شباهتهای Nevada با باجافزار Petya ، مانند باگهایی که در روند رمزگذاری فایلها وجود دارد ممکن است بازیابی private key را نیز ممکن کند، که امکان بازیابی دادهها را بدون پرداخت باج فراهم میکند.
باجافزار Nevada همچنان در حال ایجاد شبکهای از افراد وابسته بوده و به دنبال هکرهای ماهر است.
محققان در آخر اضافه کردند که به نظر میرسد باجافزار Nevada به رشد خود ادامه دهد و باید به دقت تحت نظر قرار گیرد.
