חוקרי מעבדות סייברארק מצאו באג בקוד הנוזקה של Play

חוקרי מעבדות סייברארק מצאו באג בקוד הנוזקה של קבוצת הכופר Play, ואפילו בנו כלי שמאפשר להציל חלק מהמידע שהוצפן

חוקרי מעבדות סייברארק מצאו באג בקוד הנוזקה של Play

Photo by Adi Goldstein on Unsplash

קבוצת הכופר Play היא בין ארגוני מתקפות הכופר המצליחים בעולם, עם מאות קורבנות שנפלו ברשתם ונזק של מליוני דולרים לארגונים, בהן כמה מתקפות מפורסמות (כגון התקיפה על ספקים של הצבא השוויצרי ועוד גורמים ממשלתיים שוויצריים ביוני האחרון).

נכון לסוף 2023, הקבוצה נחשבה לאחת מחמש קבוצתות הכופר הגדולות לפי מספר הקורבנות המופיעים באתר ההדלפות שלה. 

הקבוצה לא משתמשת במודל ה-Ransomeware-as-a-Service (RaaS) שנחשב לטרנד פופולרי, במקום זאת היא מעדיפה לטרגט את הקורבנות עצמם כדי לזכות במירב כספי הכופר ישירות. גם זה משקף את הביטחון של חברי הקבוצה ביכולותיהם המקצועיות.

למרות כל זאת, מסתבר שגם את המשחק של Play אפשר לנצח לפעמים, כי אפילו ההאקרים הבכירים והטובים ביותר עושים טעויות או נופלים בקטנות. לפני שאתם שוקלים לשלם לתוקפים, כדאי להכיר את נקודות החולשה שלהם ומה אפשר לעשות כדי להתגונן. 

חוקרי מעבדות סייברארק מצאו באג בקוד הנוזקה של פליי, שגורם לה לקרוס בזמן שהיא מנסה להצפין תיקיות רשת של הקורבן. 

ארי נוביק, חוקר מעבדת סייברארק מסביר על התהליך: ״בכדי להצפין תיקיות רשת, הנוזקה מבצעת אנומרציה לרשת על מנת למצוא את כל תיקיות הרשת הנגישות לה.

האנומרציה מתחילה עם ping לכל כתובת ברשת הלוקאלית, ולאחר מכן לכל כתובת שהגיבה הנוזקה מנסה לפתוח socket לבדוק אם המכונה שהגיבה פתוחה לתקשורת smb. מכל המכונות שפתוחות לתקשורות smb הנוזקה בודקת איזה תיקיות רשת נגישות על אותם מכונות ומצפינה אותם.

לאורך כל השלבים האלה, הנוזקה מבצעת מעקב אחר התגובות של המחשבים השונים ברשת בעזרת מבנה נתונים ייחודי שנשמר בזיכרון אך לאחר הסיום של ההצפנה אותו מבנה נמחק.

״משיקולי יעילות, הבדיקות באנומרציה נעשים במקביל (multithreaded), אך המפתחים של הנוזקה לא סנכרנו טוב בין הפעולות (threads) השונות. החוסר סנכרון יוצר מצב שלפעמים הנוזקה מוחקת את המבנה נתונים מהזכרון עוד לפני שהיא סיימה לבדוק באמצעות ping איזה מחשבים קיימים ברשת.

״לאחר מכן, כשהבדיקה באמצעות ping מסתיימת, הנוזקה מנסה לשמור את התוצאות של הבדיקה במבנה נתונים שנמחק ומכיוון שהוא כבר איננו קיים נוצרת שגיאה שגורמת לנוזקה לקרוס.״

בנוסף למציאת הבאג, החוקרים ניתחו את טכניקות התקיפה שפיתחה הקבוצה כדי להתחמק מתוכנות אנטי וירוס, כאשר אחת מהן היא הצפנה למקוטעין (partial\intermittent encryption). גם כאן, יש אפשרות לארגונים לשחזר את המידע (לפחות חלקו) ולהינצל מנזקי מתקפת הכופר.

לטובת עזרה לארגונים בשחזור מידע, החוקרים במעבדות סייברארק פיתחו כלי שחזור חינמי בשם 'White Phoenix', הכלי כתוב בקוד פתוח ומטרתו לשחזר מידע מתוך קבצים שהוצפנו חלקית.

הכלי שעד היום היה זמין רק דרך GitHub כפרויקט של Python, עכשיו זמין בגרסה מקוונת SaaS עבור נפגעי תוכנות הכופר שאינם מתמצאים בטכנולוגיה ועבודה עם קוד. 

השימוש באתר המקוון של White Phoenix פשוט ונדרש רק לעלות את הקבצים שהוצפנו חלקית, ללחוץ על כפתור ה"שחזור" ואז הכלי משחזר את כל מה שהוא יכול מהקבצים שהוצפנו חלקית על ידי ההאקרים.

נכון לעכשיו, הכלי תומך בקבצי PDF, בקבצי מסמכים של Word ו-Excel, ZIP ו-PowerPoint. 

ניתן למצוא את White Phoenix בכתובת הבאה

אולי יעניין אותך גם