گزارش جدید پژوهشگران امنیتی نشان میدهد RansomHouse با رمزنگار Mario به سراغ روشهای پیچیدهتر و مقاومتر در برابر تحلیل و رمزگشایی رفته است.
به گزارش افتانا، گروه باجافزاری RansomHouse که بهصورت «باجافزار بهعنوان سرویس» فعالیت میکند، بهتازگی ابزار رمزنگاری خود را ارتقا داده و از یک روش ساده و تکمرحلهای به یک سازوکار پیچیدهتر و چندلایه تغییر داده است. این ارتقا در عمل باعث افزایش قدرت رمزنگاری، سرعت بالاتر و پایداری بهتر در محیطهای مدرن هدف شده و به مهاجمان امکان میدهد در مرحله پس از رمزگذاری، با قدرت بیشتری وارد مذاکره شوند.
RansomHouse از دسامبر ۲۰۲۱ با یک عملیات اخاذی مبتنی بر سرقت داده آغاز به کار کرد و در ادامه، باجافزار را نیز به حملات خود افزود. این گروه همچنین ابزار خودکاری به نام MrAgent توسعه داد که قادر است چندین هایپروایزر VMware ESXi را بهصورت همزمان قفل کند. در گزارشهای اخیر نیز آمده است که این گروه در حملاتی علیه شرکت بزرگ تجارت الکترونیک ژاپنی Askul Corporation از چند خانواده مختلف باجافزاری استفاده کرده است.
بر اساس گزارش تازه پژوهشگران، ابزارهای RansomHouse بهویژه نسخه جدید رمزنگار آن با نامMario دستخوش تغییرات قابل توجهی شدهاند. این رمزنگار جدید بهجای یک تبدیل خطی تکمرحلهای، از یک فرآیند دو مرحلهای استفاده میکند که بر پایه دو کلید رمزنگاری شامل یک کلید اصلی ۳۲ بایتی و یک کلید ثانویه ۸ بایتی است. چنین ساختاری بازیابی حتی بخشی از دادهها را دشوارتر میکند. در نسخه جدید، رمزنگاری بهصورت غیرپیوسته انجام میگیرد و به دلیل غیرخطی بودن، استفاده از محاسبات پیچیده برای تعیین ترتیب پردازش و تفاوت رویکرد رمزگذاری بسته به اندازه هر فایل، تحلیل ایستا و مهندسی معکوس را بسیار سختتر میکند. رمزنگار Mario همچنین از چیدمان بهینهتر حافظه و مدیریت پیشرفتهتر بافرها بهره میبرد و پیچیدگی کلی آن افزایش یافته است؛ بهطوری که برای هر مرحله یا نقش در فرآیند رمزنگاری، بافرهای جداگانهای در نظر گرفته شده است. علاوه بر این، نسخه جدید در حین پردازش فایلها اطلاعات دقیقتری نمایش میدهد در حالی که نسخههای قدیمیتر، فقط پایان عملیات را اعلام میکردند.
این باجافزار همچنان فایلهای مرتبط با ماشینهای مجازی را هدف قرار میدهد، فایلهای رمزگذاریشده را با پسوند .emario تغییر نام میدهد و یادداشت باجخواهی با عنوان «How To Restore Your Files.txt» را در تمام پوشههای آلوده قرار میدهد.
پژوهشگران تأکید کردهاند که این ارتقای رمزنگاری نگرانکننده است و نشاندهنده مسیر رو به رشد و خطرناک توسعه باجافزارها محسوب میشود؛ مسیری که هم فرآیند رمزگشایی را دشوارتر میکند و هم تحلیل فنی و مهندسی معکوس را با چالشهای جدیتری روبهرو میسازد. با وجود آنکه RansomHouse از نظر حجم حملات در رده گروههای میانرده قرار دارد، ادامه توسعه ابزارهای پیشرفته نشان میدهد این گروه بیش از افزایش تعداد حملات بر کارایی، دقت و دور زدن سازوکارهای دفاعی تمرکز کرده است.
