ظهور Clop Ransomware علي أنظمة Linux

News
يعود برنامج الفدية Clop ويثير الضجة من جديد في الفترة الأخيرة، حيث قام مطوروه بإنشاء نسخة منه لاستهداف الخوادم التي تعمل بأنظمة تشغيل Linux، مما يجعله ينضم لقائمة BlackMatter و REvil في استهداف أنظمة Linux
Abdelrahman Nasr
Feb. 13, 2023, 1 p.m.
Abdelrahman
ظهور Clop Ransomware علي أنظمة Linux

يعود برنامج الفدية Clop ويثير الضجة من جديد من خلال نشاطاته في الفترة الأخيرة، حيث بعد أن كانت أهدافه منحصرة على أنظمة التشغيل Windows فقط، حيث قام مطوروه بإنشاء نسخة منه لاستهداف الخوادم التي تعمل بأنظمة تشغيل Linux، مما يجعله ينضم لقائمة BlackMatter و REvil و BlackCat في استهداف أنظمة Linux، ولكن كان للنسخة الجديدة عيوب متعددة مما سمح للباحثين بعمل هندسة عكسية لمحاولة فهم سلوك Clop.

اقرأ أيضاً: ما تريد معرفته عن BlackCat

حيث وفقاً لباحثين من فريق الـ Threat Hunting التابع لشركة SentinelLabs أنه قد تم اكتشاف النسخة الجديدة من Clop Ransomware التي تعمل علي Linux لأول مرة بتاريخ 26 ديسمبر 2022، وقد لاحظوا التشابه في طرق التشفير وطريقة سير العملية بين نسخة برنامج الفدية علي Windows و Linux ولكنهم وجدوا اختلافاً في وظائف البرنامج مما قد يشير إلى أن نسخة Clop علي Linux ما زالت قيد التطوير.

كما اكتشفوا أيضاً عيباً في خوازمية التشفير التي يقوم عليها برنامج الفدية وقاموا بهندستها عكسياً لينتهوا بتطوير أداة لفك تشفير الملفات المتضررة من قبل Clop، حيث وجد الباحثون أن الخطأ كان في منطق التشفير، حيث قال Antonis Terefos وهو Threat Intelligence Researcher في SentinelOne أن المشكلة تتلخص في اثنين من الاختلافات الرئيسية بين Windows و Linux:

حيث يحتوي إصدار Linux مفتاحاً رئيسياً ثابتاً من نوع RC4، والذي يسمح عند الوصول إليه بفك التشفير.

على الجهة الأخرى في إصدار Windows يحتوي على عدد من خطوات التحقق إلى جانب أنه يقوم بإنشاء مفتاح RC4 لكل ملف ثم تشفير مفتاح التشفير نفسه وتخزينه علي النظام مما يجعل عملية الاسترداد للملفات صعبة.

كما توجد أيضاً بعض الاختلافات الأخرى منها:

Linux

-    يتم استهداف ملفات ومجلدات محددة
-    يستخدم نفس عملية التشفير على كل أحجام الملفات

Windows

-    يستخدم خوارزمية لاستبعاد ملفات محددة من التشفير
-    يتم تجاهل الملفات صغيرة الحجم

كما تم تحديد أيضاً المزيد من الاختلافات من بينها طريقة استغلال القرص الصلب ومتغيرات سطر الأوامر وطريقة تخزين مذكرة الفدية.

وفي الختام يبدو أنه حتى أنظمة Linux قد أصبحت غير أمنة مؤخراً من برامج الفدية، كما أن اكتشاف هذا الخلل في برنامج الفدية Clop والذي كان يبدو لا يزال قيد التطوير، مما قد يجعل من مطوريه القيام ببذل مزيد من الجهد لتحسين أدائه مستقبلاً.

وهنا نكون قد وصلنا إلى نهاية مقالتنا عزيزي القارئ ولا تنسى أن تنتظرنا قريباً -إن شاء الله- وإلى لقاء آخر قريب ...

Clop Ransomware BlackCat REvil BlackMatter SentinelLabs RC4 Abdelrahman Nasr