باج‌افزار Rook؛ باج‌افزاری با آرزوهای بزرگ!

به گزارش مرکز مدیریت راهبردی افتا: اگرچه اظهارات اولیه گردانندگان باج‌افزار Rook در پورتال نشت داده‌های این باج افزار مضحک بود، اما گزارش نخستین قربانی این باج‌افزار در سایت مذکور به‌وضوح نشان داد که گردانندگان Rook به دنبال سرگرمی و تفریح نیستند و هدف آن‌ها اخاذی است.

محققان به بررسی دقیق این‌گونه جدید باج‌افزار پرداخته‌اند و علاوه بر جزئیات فنی و زنجیره آلودگی، شباهت آن با باج‌افزار Babuk را نیز آشکار کرده‌اند.

در حملات باج‌افزاری Rook، آلودگی اولیه معمولاً از طریق ایمیل‌های موسوم به Phishing و یا حتی دانلود فایل‌های Torrent شروع‌شده و از Cobalt Strike برای انتقال و انتشار کد مخرب باج‌افزار استفاده‌شده است. برای جلوگیری از شناسایی، کدهای باج‌افزاری با UPX یا دیگر رمزگذارها بسته‌بندی‌شده‌اند. نتایج این تحقیق نشان می‌دهد که کدهای باج‌افزار Rook هنگام اجرا، پروسه‌های مربوط به ابزارهای امنیتی یا هر پروسه‌ای را خاتمه می‌دهند که می‌تواند رمزگذاری را مختل کند.

محققان در ادامه عنوان کرده‌اند که در برخی موارد راه‌انداز kph.sys از Process Hacker در خاتمه پروسه‌هایی نقش دارد که فرایند رمزگذاری را مسدود می‌کنند؛ اما در موارد دیگر از ابزارهای دیگری استفاده می‌شود. این امر احتمالاً نشان‌دهنده نیاز مهاجم به استفاده از درایور برای غیرفعال‌کردن راهکارهای امنیتی محلی در رویدادهای خاص است.

Rook همچنین از vssadmin.exe برای حذف رونوشت‌های موسوم به Volume Shadow Copy استفاده می‌کند تا امکان بازگردانی فایل‌های حذف‌شده یا رمزگذاری شده از طریق آن‌ها ممکن نباشد. این باج‌افزار پس از رمزگذاری فایل‌ها، پسوند “.Rook” را به آن‌ها اضافه کرده و سپس خود را از سیستم هک شده حذف می‌کند.

مهاجمان یک اطلاعیه باج‌گیری (Ransom note) به نام HowToRestoreYourFiles.txt در کامپیوتر آلوده شده و سیستم‌های رمزگذاری شده قرار می‌دهند.

در اطلاعیه مهاجمان نوشته شده است که قربانی با دسترسی به وب‌سایت Rook Tor یا ارسال ایمیل به مهاجمان، با آنان تماس بگیرد. مهاجمان قربانیان را تهدید می‌کنند که در صورت عدم پرداخت باج مطالبه شده، داده‌های سرقت شده را به‌صورت عمومی منتشر می‌کنند. همچنین به قربانیان هشدار می‌دهند که در صورت مذاکره با فروشندگان محصولات امنیتی یا نهادهای قانونی، کلید خصوصی رمزگشایی فایل‌های رمزگذاری شده را از بین می‌برند.

بنا بر اظهارات محققان، شباهت‌های متعددی بین کد Rook و Babuk وجود دارد. Babuk Locker که با نام Babyk نیز شناخته می‌شود، در قالب خدمات موسوم به “باج‌افزار به‌عنوان سرویس” (Ransomware-as-a-Service – به‌اختصار RaaS) توسعه داده شده بود. فعالیت باج‌افزار Babuk از ابتدای سال ۲۰۲۱ آغاز شد و گردانندگان آن، سازمان‌های فعال در حوزه‌های مختلف را برای سرقت و رمزگذاری داده‌ها، هدف قرار می‌دادند.

در سپتامبر ۲۰۲۱ کد منبع (Source Code) باج‌افزار Babuk در یک تالار گفتگوی اینترنتی هکرهای روسی زبان فاش شد. یکی از اعضای گروه Babuk مدعی بود به دلیل ابتلا به سرطانی علاج‌ناپذیر، تصمیم به انتشار کد این باج‌افزار مخرب گرفته است. از آن زمان تاکنون کدهای فاش شده این باج‌افزار توسط گروه‌های مختلفی برای راه‌اندازی حملات باج‌افزاری استفاده شذه است.

باتوجه به شباهت‌های کد میان دو باج‌افزار Babuk و Rook، محققان بر این باورند که Rook از کد منبع فاش شده باج‌افزار Babuk استفاده می‌کند. Rook از فراخوانی‌ها و توابع API مشابه که قبلاً در Babuk نیز بکار گرفته شده بود، برای بازیابی نام و وضعیت هر یک از سرویس‌های در حال اجرا و خاتمه دادن به آن‌ها استفاده می‌کند.

همچنین فهرست پروسه‌ها، شمارش راه‌اندازهای محلی و سرویس‌های متوقف‌شده در Windows برای هر دو باج‌افزار Rook و Babuk یکسان بوده و شامل پروسه‌های مربوط به بستر بازی محبوب Steam و سرویس‌گیرنده ایمیل Microsoft Office، Outlook، Mozilla Firefox و Thunderbird است.
شباهت‌های دیگر بین دو باج‌افزار مذکور شامل نحوه حذف رونوشت‌های موسوم به Volume Shadow Copy توسط رمزگذار، به‌کارگیری Windows Restart Manager API برای متوقف کردن پروسه‌ها در محصولات Microsoft Office و بستر بازی Steam است.

با اینکه هنوز خیلی زود است تا در خصوص میزان پیچیدگی حملات صورت گرفته توسط باج‌افزار Rook اظهارنظر شود، آنچه مسلم است این است که عواقب آلودگی توسط باج‌افزار یادشده بسیار شدید است و به رمزگذاری و سرقت داده‌ها منجر می‌شود.
در حال حاضر در سایت نشت داده Rook به نام دو قربانی اشاره‌شده است.

۹ آذر ۱۴۰۰، گروه باج‌افزار Rook، نام اولین قربانی را که یک مؤسسه مالی در قزاقستان است، در سایت نشت داده خود منتشر کرد. مهاجمان بیش از ۱ هزار گیگابایت از اطلاعات مؤسسه قزاقستانی را سرقت و فایل‌های این شرکت را رمزگذاری کردند.

قربانی دوم یک متخصص هوانوردی و هوافضای هندی است که نام آن نیز به‌تازگی در سایت Rook اضافه‌شده است؛ بنابراین این باج‌افزار در مراحل اولیه فعالیت خوداست.

چنانچه وابستگان ماهر این باج‌افزار جدید به RaaS بپیوندند، Rook می‌تواند در آینده به تهدید بزرگی برای سازمان‌ها تبدیل شود. این را به آسیب‌پذیری اخیر کشف‌شده در Log۴j نیز اضافه کنید که می‌تواند دسترسی اولیه را بدون مهارت فنی بالا برای مهاجمان امکان‌پذیر کند.

به نظر می‌رسد تیم‌های امنیتی سازمان‌ها، سال میلادی شلوغ و پرچالشی پیشرو دارند؛ لذا ضرورت دارد راهبران امنیتی پیشگیری را سرلوحه کار خود قرار دهند و دراسرع‌وقت نسخه‌های پشتیبان از فایل‌ها را تهیه، آسیب‌پذیری‌های ترمیم‌شده را وصله و نرم‌افزارها و سخت‌افزارهای مورداستفاده را به‌روزرسانی کنند.