باج‌افزار Prinz Eugen

بدافزارها همچنان در حال تکامل هستند و باج‌افزار همچنان یکی از مخرب‌ترین تهدیدات سایبری است که افراد و سازمان‌ها با آن مواجه هستند. یک آلودگی می‌تواند منجر به از دست رفتن دائمی داده‌ها، اختلال در عملیات و عواقب مالی قابل توجه شود. از آنجا که کمپین‌های باج‌افزار مدرن اغلب از تکنیک‌های پیچیده‌ای برای فرار از شناسایی و به حداکثر رساندن خسارت استفاده می‌کنند، حفظ شیوه‌های قوی امنیت سایبری برای محافظت از اطلاعات ارزشمند و سیستم‌های حیاتی ضروری است.

یک عملیات باج‌افزار خاموش

Prinz Eugen یک گونه باج‌افزار است که با زبان برنامه‌نویسی Go نوشته شده است، یک چارچوب توسعه که به دلیل قابلیت حمل و کارایی‌اش به طور فزاینده‌ای در بین مجرمان سایبری محبوب شده است. این بدافزار به یک عامل تهدید به نام ROOTBOY مرتبط دانسته شده و با یک هدف اصلی طراحی شده است: رمزگذاری داده‌ها و غیرقابل دسترس کردن آنها برای قربانیان.

پس از اجرا، Prinz Eugen فایل‌ها را رمزگذاری کرده و پسوند '.prinzeugen' را به هر نام فایل آسیب‌دیده اضافه می‌کند. برای مثال، فایلی با نام '1.png' به '1.png.prinzeugen' تبدیل می‌شود، در حالی که '2.pdf' به '2.pdf.prinzeugen' تغییر نام می‌دهد. پس از این فرآیند، فایل‌ها دیگر نمی‌توانند به طور عادی باز شوند.

یکی از غیرمعمول‌ترین ویژگی‌های Prinz Eugen فقدان کامل یادداشت باج‌خواهی است. برخلاف اکثر خانواده‌های باج‌افزار که دستورالعمل‌های پرداخت را از طریق فایل‌های متنی، تصاویر پس‌زمینه دسکتاپ یا صفحات HTML نمایش می‌دهند، این بدافزار هیچ پیامی از خود به جا نمی‌گذارد. قربانیان مستقیماً از آنچه اتفاق افتاده یا نحوه ادامه کار مطلع نمی‌شوند و این باعث سردرگمی و پیچیدگی پاسخ اولیه می‌شود.

رمزگذاری طراحی شده برای جلوگیری از بازیابی

پرینز یوگن برای قفل کردن فایل‌ها به الگوریتم رمزگذاری ChaCha20-Poly1305 متکی است. این بدافزار برای هر فایل رمزگذاری شده یک مقدار تصادفی منحصر به فرد تولید می‌کند، به این معنی که بازیابی یک فایل به رمزگشایی هیچ فایل دیگری کمکی نمی‌کند. این پیاده‌سازی به طور قابل توجهی شانس بازیابی موفقیت‌آمیز از طریق تجزیه و تحلیل رمزنگاری را کاهش می‌دهد.

برای جلوگیری بیشتر از تحقیقات، این باج‌افزار پس از تکمیل روال رمزگذاری، از یک مکانیسم خودحذفی با تأخیر استفاده می‌کند. با حذف خود از سیستم آسیب‌دیده، پرینز یوگن میزان شواهد پزشکی قانونی موجود برای محققان را کاهش می‌دهد و تلاش‌های واکنش به حادثه را پیچیده می‌کند.

متأسفانه، بازیابی فایل‌ها بدون دسترسی به ابزار رمزگشایی مهاجمان غیرواقعی تلقی می‌شود. حتی در آن صورت، پرداخت باج همچنان یک قمار خطرناک است زیرا مجرمان سایبری اغلب پس از دریافت وجه، از ارائه رمزگشایی کارآمد خودداری می‌کنند. حذف بدافزار می‌تواند از آسیب بیشتر جلوگیری کند، اما داده‌های رمزگذاری شده قبلی را بازیابی نمی‌کند. در بیشتر موارد، تنها روش بازیابی قابل اعتماد، بازیابی فایل‌ها از پشتیبان‌های پاک ذخیره شده به صورت آفلاین یا روی سرورهای امن از راه دور است.

چگونه مهاجمان دسترسی پیدا می‌کنند

تجزیه و تحلیل‌ها نشان می‌دهد که اعتبارنامه‌های پروتکل دسکتاپ از راه دور (RDP) هک شده یکی از نقاط ورودی اصلی مورد استفاده اپراتورهای Prinz Eugen است. مهاجمان ممکن است این اعتبارنامه‌ها را از طریق سرقت اعتبارنامه، استفاده مجدد از رمز عبور یا حملات جستجوی فراگیر علیه سرویس‌های RDP در معرض اینترنت به دست آورند. پس از دستیابی به دسترسی، آنها می‌توانند مستقیماً دستگاه هدف را کنترل کرده و محیط را برای استقرار باج‌افزار آماده کنند.

طبق گزارش‌ها، اپراتورها قبل از شروع فرآیند رمزگذاری، در مرحله‌ی آماده‌سازی از ابزارهای مدیریت از راه دور استفاده می‌کنند. این رفتار نشان‌دهنده‌ی یک روش حمله‌ی هدفمند و عمدی است که معمولاً در نفوذ به کسب‌وکارها و سازمان‌ها مشاهده می‌شود.

مانند بسیاری از خانواده‌های باج‌افزار، پرینز یوگن نیز ممکن است از طریق بردارهای آلودگی سنتی‌تر به قربانیان دسترسی پیدا کند. ایمیل‌های فیشینگ، تروجان‌ها، نرم‌افزارهای دزدی و ابزارهای فعال‌سازی نرم‌افزار غیرقانونی همچنان سازوکارهای رایج انتقال هستند. بارهای مخرب می‌توانند در قالب فایل‌های بایگانی، فایل‌های اجرایی، اسناد مایکروسافت آفیس و سایر محتوای به ظاهر قانونی پنهان شوند.

ارتباط بدون دستورالعمل

اگرچه هیچ یادداشت باج‌خواهی روی دستگاه‌های آلوده قرار داده نشده است، اما تجزیه و تحلیل‌های موجود نشان می‌دهد که اپراتورها انتظار دارند قربانیان خودشان ارتباط برقرار کنند. طبق گزارش‌ها، می‌توان از طریق آدرس‌های ایمیل prinzeugen@mail2tor.co و standardbankcc@cock.li با مهاجمان تماس گرفت. هیچ درخواست باج ثابتی به صورت عمومی ثبت نشده است و قربانیان را در مورد هزینه و احتمال بازیابی اطلاعاتشان مطمئن نمی‌کند.

این رویکرد نامتعارف، تاکتیک‌های متنوع و فزاینده‌ای را که توسط اپراتورهای باج‌افزار استفاده می‌شود، برجسته می‌کند و نشان می‌دهد که عدم وجود پیام باج‌خواهی هرگز نباید به عنوان نشانه‌ای از بازیابی آسان فایل‌ها تعبیر شود.

تقویت دفاع در برابر باج‌افزار

محافظت مؤثر در برابر تهدیداتی مانند Prinz Eugen نیازمند یک استراتژی امنیتی لایه‌بندی‌شده است. سازمان‌ها و کاربران شخصی باید بر کاهش فرصت‌های مهاجمان برای دسترسی اولیه تمرکز کنند و در عین حال اطمینان حاصل کنند که در صورت وقوع حادثه، گزینه‌های بازیابی همچنان در دسترس باشند.

شیوه‌های زیر به طور قابل توجهی مقاومت در برابر آلودگی‌های باج‌افزاری را بهبود می‌بخشند:

• مرتباً از اطلاعات خود نسخه پشتیبان تهیه کنید و آنها را به صورت آفلاین یا در محیط‌های ابری امن که امکان تغییر مستقیم آنها توسط سیستم‌های آلوده وجود ندارد، ذخیره کنید.
• از رمزهای عبور قوی و منحصر به فرد استفاده کنید و از سرویس‌های دسترسی از راه دور مانند RDP با احراز هویت چند عاملی محافظت کنید.
• سرویس‌های دسترسی از راه دور غیرضروری را غیرفعال کنید و از قرار دادن مستقیم RDP در اینترنت خودداری کنید.
• برای از بین بردن آسیب‌پذیری‌های شناخته‌شده، به‌روزرسانی‌های سیستم‌عامل و نرم‌افزار را فوراً نصب کنید.

آگاهی از امنیت سایبری نیز به همان اندازه مهم است. کاربران باید سیستم‌ها را از نظر رفتارهای غیرمعمول زیر نظر داشته باشند، کنترل‌های دسترسی را بر اساس اصل حداقل امتیاز پیاده‌سازی کنند و مرتباً رویه‌های بازیابی نسخه پشتیبان را آزمایش کنند. سازمان‌ها همچنین باید برنامه‌های واکنش به حوادث را حفظ کنند و کارمندان را برای تشخیص تلاش‌های فیشینگ و سایر تکنیک‌های مهندسی اجتماعی آموزش دهند.

نکات پایانی

پرینز یوگن یک تهدید باج‌افزاری پیچیده و مخفیانه است که رمزگذاری قوی، تکنیک‌های نفوذ هدفمند و قابلیت‌های خودحذفی را برای به حداکثر رساندن آسیب و در عین حال به حداقل رساندن شواهد پزشکی قانونی ترکیب می‌کند. فقدان یادداشت باج‌خواهی در آن، آن را به طور ویژه غیرمعمول می‌کند و ممکن است پاسخ مناسب از سوی قربانیان را به تأخیر بیندازد. از آنجایی که رمزگشایی بدون ابزار مهاجمان امکان‌پذیر نیست، پیشگیری، امنیت دسترسی قوی و پشتیبان‌گیری‌های قابل اعتماد همچنان موثرترین دفاع در برابر این بدافزار هستند.