اشتباه فنی باج‌گیرها، حتی رمزگشایی فایل‌های قفل شده قربانی را برای خودشان هم غیرممکن کرد!

توضیحات: وحید علی‌محمدی; دسته: اخبار امنیت; 18 بهمن 1404 17:00

گاهی حتی سازندگان بدافزار هم قربانی کدهای خود می‌شوند. تازه‌ترین گزارش‌های امنیتی نشان می‌دهد یکی از نسخه‌های باج‌افزار Nitrogen به دلیل یک باگ جدی در مدیریت کلیدهای رمزنگاری، پس از رمزگذاری اطلاعات قربانیان، کلید بازگشایی را عملاً از بین می‌برد؛ موضوعی که باعث شده داده‌ها نه‌تنها برای کاربران، بلکه حتی برای خود مهاجمان نیز غیرقابل بازیابی باشند.

اگر تجربه این شرایط وحشتناک را داشته باشید به خوبی می‌دانید که قفل شدن فایل‌ها با حمله باج‌افزاری یکی از دردناک‌ترین مشکلاتی است که در دنیای رایانه و اطلاعات می‌توان با آن روبرو شد.

اما باید بگوییم که اتفاقات به مراتب بدتری از تنها قفل شدن فایل‌ها هم وجود دارد؛ این اتفاق آن است که با هزاران زحمت بتوانید باج درخواست شده را تهیه کنید ولی حتی خود زورگیرانی که فایل‌های شما را قفل کرده‌اند هم نتوانند آن‌ها را رمزگشایی کنند!

به تازگی یک مورد از این حالت بسیار بد و نادر گزارش شده است که داستان غم‌انگیزی را روایت می‌کند که ناشی از یک نقص و اشتباه فنی است.

این نقص در نسخه مخصوص VMware ESXi مشاهده شده است؛ گونه‌ای که مستقیماً هایپروایزرها را هدف قرار می‌دهد و با رمزگذاری ماشین‌های مجازی، زیرساخت کامل سازمان را از کار می‌اندازد.

برخلاف حملات رایج که سیستم‌عامل‌های معمولی را آلوده می‌کنند، این نوع باج‌افزار لایه مجازی‌سازی را نشانه می‌گیرد؛ جایی که معمولاً چندین سرویس حیاتی به‌صورت هم‌زمان اجرا می‌شوند.

تمرکز حمله روی ESXi؛ نقطه کور بسیاری از زیرساخت‌ها

حملات مبتنی بر ESXi موضوع تازه‌ای در دنیای امنیت وب نیست، اما بررسی‌ها نشان می‌دهد بسیاری از مدیران شبکه تمرکز اصلی خود را روی ایمن‌سازی سیستم‌عامل‌های مهمان می‌گذارند و در مقابل، خود هایپروایزر را با سیاست‌های امنیتی ضعیف‌تری رها می‌کنند. همین موضوع باعث شده سرورهای ESXi به یکی از اهداف جذاب گروه‌های باج‌افزاری تبدیل شوند.

در این سناریو، با رمزگذاری ماشین‌های مجازی، عملاً کل سرویس‌های سازمان به‌طور هم‌زمان از دسترس خارج می‌شوند؛ اتفاقی که می‌تواند خسارت گسترده‌ای به کسب‌وکارها وارد کند.

باگ رمزنگاری؛ وقتی کلید خصوصی دیگر وجود ندارد

طبق تحلیل فنی منتشرشده توسط Veeam، مشکل اصلی در همان ابتدای فرآیند رمزگذاری رخ می‌دهد. در این مرحله، بخشی از کلید عمومی رمزنگاری به‌اشتباه با مقدار صفر جایگزین می‌شود؛ دقیقاً ۸ بایت یا ۶۴ بیت.

از آنجا که کلید عمومی و کلید خصوصی در رمزنگاری نامتقارن یک جفت وابسته به هم هستند، تخریب بخشی از کلید عمومی باعث می‌شود دیگر هیچ کلید خصوصی متناظری برای آن وجود نداشته باشد. به زبان ساده، باج‌افزار پس از قفل کردن فایل‌ها، کلید بازگشایی را عملاً «دور می‌اندازد».

تحلیلگران Veeam احتمال می‌دهند این مشکل ناشی از یک خطای رایج برنامه‌نویسی موسوم به off-by-one باشد؛ اشتباهی که می‌تواند باعث بازنویسی ناخواسته بخشی از حافظه شود.

نتیجه این باگ کاملاً روشن است: حتی اگر قربانی حاضر به پرداخت باج باشد، گروه Nitrogen نیز قادر به ارائه کلید رمزگشایی نخواهد بود. بنابراین پرداخت باج هیچ فایده‌ای ندارد و تنها راه باقی‌مانده، بازیابی داده‌ها از نسخه‌های پشتیبان است. در صورت نبود بکاپ مناسب، اطلاعات عملاً برای همیشه از دست می‌روند.

اگرچه گزارش Veeam به موارد مشخص آلودگی این نسخه ESXi اشاره نکرده، اما کمپین Nitrogen از سال ۲۰۲۳ فعال بوده و اهداف متعددی را نشانه گرفته است. این قربانیان دامنه وسیعی را شامل شده و از میان آنها، مؤسسات مالی آمریکای شمالی گرفته تا شرکت‌های صنعتی و حتی استودیوی Red Barrel، سازنده مجموعه بازی Outlast را می‌توان نام برد.

با این حال، اشتباه اخیر توسعه‌دهندگان این باج‌افزار باعث شده مدل باج‌گیری آن‌ها عملاً بی‌اثر شود. در این سناریو، نه قربانی به داده‌هایش دسترسی دارد و نه مهاجم می‌تواند پولی دریافت کند؛ نمونه‌ای واقعی از «نابودی متقابل تضمین‌شده» که این‌بار به شکلی کاملاً ناخواسته رخ داده است.