مقدمه

با‌ج‌افزار جدیدی که تحت عنوان Nevada شناخته می‌شود، در حال گسترش قابلیت‌های خود است و در همین حین محققان امنیتی در تحقیقات خود متوجه ارتقای عملکرد locker هایی شدند که سیستم‌های Windows و VMware ESXi را هدف قرار می‌دهند. باج‌افزار Nevada تبدیل به یکی از موضوعات داغ در دنیای امنیت سایبری شده است.

RAMP interface

از سرگیری فعالیت باج‌افزار Nevada

باج‌افزار نوادا از تاریخ 10 دسامبر 2022 در انجمن‌های دارک‌نت RAMP تبلیغ شد و از مجرمان سایبری روسی و چینی‌زبان دعوت کرد تا برای دریافت تا سقف 85 درصد از باج‌های پرداخت شده به آن بپیوندند.

برای آن دسته از شرکت‌‎های وابسته که قربانیان بیشتری به دام می‌اندازند، Nevada اعلام کرده که سهم پرداختی آن‌ها را به 90 درصد افزایش می‌دهد. RAMP قبلا به عنوان فضایی معرفی شده بود که هکرهای روسی و چینی در آن به تبلیغ عملیان و جرایم سایبری خود می‌پرداختند یا با همتایان و همکاران خود ارتباط برقرار می‍کردند.

باج افزار Nevada دارای یک locker مبتنی بر Rust، پورتال چت آنلاین، domain مجزا در شبکه Tor برای افرادی که در این زمینه فعالیت می‌کنند و همچنین قربانیان است.

محققان امنیتی اخیرا این بدافزار جدید را تجزیه و تحلیل کرده و گزارشی از یافته‌های خود منتشر کردند. این محققان می‌گویند که در حالی که باج افزار Nevada به صراحت عنوان کرده به دنبال حذف شرکت‌های وابسته انگلیسی زبان است، اپراتورها آماده انجام کار با کارگزاران تایید شده از هر نقطه‌ی دنیا هستند.

باج‌افزار Nevada که بر روی دستگاه‌هایی با سیستم عامل ویندوز تمرکز دارد و از طریق کنسول ویندوز اجرا می‌شود، از مجموعه‌ای از flag پشتیبانی می‌کند که به اپراتورهای خود توانایی کنترل فرایند encryption را می‌دهد.

-file > encrypt selected file

-dir > encrypt selected directory

-sd > self-delete after everything done

-sc > delete shadow copies

-lhd > load hidden drives

-nd > find and encrypt network shares

-sm > safe mode encryption

یکی از ویژگی‌های جالب باج‌افزار Nevada، وجود مجموعه‌ای از زبان‌های سیستمی است که از فرآیند Encryption توسط این باج افزاردر امان است. به طور معمول، باندهای باج‌افزاری، قربانیانی که مستقر در روسیه و کشورهای مستقل مشترک المنافع هستند، حذف می‌کنند. با این حساب، لیست قربانیان بدافزار به آلبانی، مجارستان، ویتنام، مالزی، تایلند، ترکیه و ایران گسترش می‌یابد.

در این حال، payload از MPR.dll برای جمع آوری اطلاعات در مورد منابع شبکه استفاده می‌کند و دایرکتوری‌های مشترک را در صف رمزگذاری قرار می‌دهد. به هر درایو، از جمله درایوهای مخفی، یک حرف اختصاص داده می‌شود و تمام فایل‌های موجود در آن‌ها نیز به صف رمزگذاری اضافه می‌شوند.

پس از این مرحله، encryptor به عنوان یک سرویس نصب می‌شود و سپس سیستم آسیب دیده با اتصال شبکه فعال به safe mode ویندوز راه اندازی مجدد می‌شود.

این locker از الگوریتم Salsa20 برای انجام رمزگذاری متناوب روی فایل‌های بزرگتر از 512 کیلوبایت برای رمزگذاری سریع‌تر استفاده می‌کند.

فایل‌های اجرایی، DLL، LNK، SCR، URLها و فایل‌های INI در پوشه‌های ویندوز و فایل‌های برنامه کاربر از رمزگذاری exclude می‌شوند تا میزبان unbootable نشود.

به فایل‌های رمزگذاری‌شده پسوند فایل “.NEVADA” اضافه می‌شود و هر پوشه حاوی یک یادداشت از جانب باج‌گیر است که به قربانیان پنج روز فرصت می‌دهد تا خواسته‌های باج‌گیر را برآورده کنند، در غیر این صورت داده‌های آن‌ها در وب‌سایت نشت داده‌های Nevada منتشر می‌شود.

Nevada Note

هدف قرار دادن سیستم‌های VMware ESXi

نسخه Linux/VMware ESXi باج‌افزار Nevada از همان الگوریتم رمزگذاری (Salsa20) مانند نسخه ویندوز استفاده می‌کند.

رمزگذار لینوکس نیز از سیستم رمزگذاری متناوب پیروی می‌کند،  یعنی رمزگذاری کامل (full encryption) فقط برای فایل‌های کوچکتر از 512 کیلوبایت انجام می‌شود.

محققان متوجه شدند که احتمالا به دلیل وجود نوعی اشکال در نسخه لینوکس، باج‌افزار نوادا از رمزگذاری فایل‌هایی با حجم بین 512 کیلوبایت تا 1.25 مگابایت چشم پوشی می‌کند.

locker لینوکس از توابع زیر پشتیبانی می‌کند:

-help > help

-daemon > creation and launch of a ‘nevada’ service

-file > encrypt particular file

-dir > encrypt particular folder

-esxi > disable all virtual machines

در سیستم‌های لینوکس، public key در انتهای فایل رمزگذاری شده در قالب 38 بایت اضافی ذخیره می‌شود.

Resecurity می‌گوید که شباهت‌های Nevada با باج‌افزار Petya ، مانند باگ‌هایی که در روند رمزگذاری فایل‌ها وجود دارد ممکن است بازیابی private key را نیز ممکن کند، که امکان بازیابی داده‌ها را بدون پرداخت باج فراهم می‌کند.

باج‌افزار Nevada همچنان در حال ایجاد شبکه‌ای از افراد وابسته بوده و به دنبال هکرهای ماهر است.

محققان در آخر اضافه کردند که به نظر می‌رسد باج‌افزار Nevada به رشد خود ادامه ‌دهد و باید به دقت تحت نظر قرار گیرد.

دیدگاه‌ خود را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

پیمایش به بالا

اطلاع‌رسانی پشتیبانی فنی

با توجه به احتمال بروز حملات سایبری، بدین‌وسیله ضمن اعلام آماده‌باش ۲۴ ساعته تیم واکنش سریع شرکت دژپاد، شماره تماس متخصصین فنی جهت پاسخگویی در لحظه به شرح زیر اعلام می‌گردد:

پشتیبانی آنتی‌ویروس: ۰۹۳۰۰۱۵۴۴۵۱

پشتیبانی فایروال: ۰۹۳۰۰۱۵۴۹۷۷

پشتیبانی استوریج: ۰۹۳۰۰۱۵۴۸۷۵