رنسام‌هاب ها تهدید نوظهور در دنیای باج‌افزارها و راهکارهای مقابله

 با گسترش فناوری، تهدیدات سایبری نیز پیچیده‌تر شده‌اند و رنسام‌هاب (RansomHub) به عنوان یکی از خطرناک‌ترین باج‌افزارهای ۲۰۲۴ شناخته می‌شود. این گروه که به مدل RaaS (Ransomware-as-a-Service) فعالیت می‌کند، در مدت کوتاهی به یک چالش بزرگ برای سازمان‌ها تبدیل شده است.

تاریخچه رنسام‌هاب: بازسازی یک باج‌افزار قدیمی

 بر اساس گزارش شرکت سیمانتک، رنسام‌هاب نسخه ارتقایافته باج‌افزار نایت (Knight) است که پیشتر با نام سایکلوپس (Cyclops) شناخته می‌شد. نایت در فوریه ۲۰۲۴ فعالیت خود را متوقف کرد، اما سورس کد آن در انجمن‌های زیرزمینی فروخته شد. به نظر می‌رسد توسعه‌دهندگان جدید، این کد را خریداری کرده و با افزودن قابلیت‌های پیشرفته، رنسام‌هاب را خلق کردند.

شباهت‌های فنی کلیدی

     زبان برنامه‌نویسی Go: هر دو باج‌افزار با این زبان نوشته شده‌اند.

     ابهام‌سازی کد: استفاده از Gobfuscate برای پیچیده‌تر کردن تحلیل کد.

     نوت باج‌خواهی: عبارات مشابه در هر دو خانواده مشاهده می‌شود.

تکنیک‌های پیشرفته رمزگذاری: حمله در سکوت!

 یکی از ویژگی‌های منحصربه‌فرد رنسام‌هاب، راه‌اندازی سیستم در حالت امن (Safe Mode) پیش از رمزگذاری است. این تکنیک اولین بار در باج‌افزار اسنچ (Snatch) در سال ۲۰۱۹ استفاده شد و دو هدف اصلی دارد:

     غیرفعال کردن نرم‌افزارهای امنیتی.

     جلوگیری از تداخل فرآیندهای سیستمی با رمزگذاری.

 ارتباط با باج‌افزارهای دیگر

     نوبروس (Noberus): استفاده از تنظیمات JSON مشابه برای رمزگذاری.

     اسنچ (Snatch): اشتراک‌گذاری کد پایه و ویژگی‌های فنی.

روش‌های نفوذ رنسام‌هاب: از آسیب‌پذیری تا کنترل کامل

 تحلیل حملات اخیر نشان می‌دهد مهاجمان از ترکیبی از آسیب‌پذیری‌های شناخته شده و ابزارهای قانونی سوءاستفاده می‌کنند:

۱. بهره‌برداری از Zerologon (CVE-2020-1472)

 این آسیب‌پذیری بحرانی به مهاجمان اجازه می‌دهد دسترسی مدیر دامنه (Domain Admin) را به سرقت ببرند و کنترل شبکه را در دست بگیرند.

۲. ابزارهای دسترسی از راه دور (RMM)

     Atera و Splashtop: برای کنترل دستگاه‌های قربانی.

     NetScan: اسکن شبکه و شناسایی دستگاه‌های حیاتی.

 ۳. غیرفعال کردن سرویس‌های حیاتی

 با استفاده از دستوراتی مانند iisreset.exe، سرویس‌های IIS متوقف می‌شوند تا فرآیند رمزگذاری بدون مانع انجام شود.

رشد انفجاری رنسام‌هاب: جذب نیروهای باتجربه

 رنسام‌هاب تنها در ۳ ماه به رتبه چهارم گروه‌های باج‌افزاری جهان رسیده است. عوامل این موفقیت عبارتند از:

     پیوستن اعضای سابق نوبروس (ALPHV/BlackCat): مانند «ناتچی» و «عنکبوت پراکنده».

     استفاده از زیرساخت‌های قبلی: کاهش زمان توسعه با به‌کارگیری کدهای موجود.

     تبادل دانش در انجمن‌های زیرزمینی: دسترسی به آخرین تکنیک‌های نفوذ.

راهکارهای دفاعی: چگونه در برابر رنسام‌هاب مقاومت کنیم؟

۱. وصله‌سازی سریع سیستم‌ها

     آسیب‌پذیری Zerologon: حتماً بروزرسانی‌های امنیتی مایکروسافت را نصب کنید.

     استفاده از ابزارهایی مانند Microsoft Defender: برای شناسایی حملات مبتنی بر RMM.

 ۲. محدودسازی دسترسی‌ها

     اصلاح حداقل دسترسی (Least Privilege): جلوگیری از دسترسی بیش از حد کاربران.

     غیرفعال کردن قابلیت‌های غیرضروری در RMMها: کاهش سطح حمله.

 ۳. نظارت فعال بر شبکه

     تشخیص فعالیت‌های غیرعادی: مانند اجرای دستورات cmd.exe به صورت مکرر.

     استفاده از SIEM: برای جمع‌آوری و تحلیل لاگ‌ها در لحظه.

 ۴. آموزش کاربران و آگاهی‌بخشی

     شناسایی فیشینگ: متداول‌ترین روش نفوذ اولیه.

     گزارش‌دهی سریع فعالیت‌های مشکوک: ایجاد فرهنگ امنیتی در سازمان.

 ۵. تهیه نسخه پشتیبان امن

     استفاده از سیستم ۳-۲-۱: ۳ نسخه پشتیبان، ۲ رسانه مختلف، ۱ نسخه خارج از سایت.

     تست بازیابی اطلاعات: اطمینان از عملکرد صحیح بک‌آپ‌ها.

رنسام‌هاب تنها آغاز یک موج جدید است

 رنسام‌هاب نشان می‌دهد که گروه‌های باج‌افزاری به سرعت در حال تکامل و اشتراک‌گذاری دانش هستند. برای مقابله، سازمان‌ها باید روی لایه‌بندی دفاعی، آموزش مستمر و همکاری با نهادهای امنیتی تمرکز کنند. با توجه به استفاده رنسام‌هاب از آسیب‌پذیری‌های قدیمی، اهمیت مدیریت وصله‌ها بیش از پیش آشکار می‌شود