ارتقای نگران‌کننده باج افزار RansomHouse: رمزگذاری چندلایه برای فشار حداکثری روی قربانیان!

گروه باج افزار RansomHouse که به‌عنوان یک سرویس باج‌افزاری (RaaS) فعالیت می‌کند، اخیراً رمزگذار خود را به‌طور قابل توجهی ارتقا داده و از یک مدل ساده و خطی به یک معماری رمزگذاری چندلایه و چندمرحله‌ای مهاجرت کرده است.

این تغییر، تنها یک بهبود فنی نیست؛ بلکه مستقیماً باعث:

• افزایش قدرت رمزگذاری

• کاهش امکان بازیابی جزئی داده‌ها

• افزایش سرعت و پایداری در محیط‌های مدرن (به‌ویژه VMware ESXi)
  می‌شود و در نهایت، اهرم فشار مهاجمان در مذاکرات پس از حمله را به‌شدت تقویت می‌کند.

RansomHouse که از دسامبر ۲۰۲۱ فعالیت خود را به‌عنوان یک عملیات اخاذی داده‌محور آغاز کرد، در ادامه با توسعه ابزارهایی مانند MrAgent توانست چندین هایپروایزر VMware ESXi را به‌صورت هم‌زمان قفل کند. گزارش‌های اخیر حتی نشان می‌دهد این گروه از چند خانواده باج‌افزاری مختلف علیه شرکت‌هایی مانند Askul ژاپن استفاده کرده است.

رمزگذار جدید «Mario»؛ یک جهش فنی واقعی روی باج افزار RansomHouse

طبق گزارش جدید Palo Alto Networks Unit 42، نسخه جدید رمزگذار RansomHouse با نام Mario، تغییرات کلیدی زیر را معرفی می‌کند:

🔹 رمزگذاری دو مرحله‌ای با دو کلید

برخلاف نسخه‌های قبلی، Mario از:

• یک کلید اصلی ۳۲ بایتی

• یک کلید ثانویه ۸ بایتی

استفاده می‌کند. این مدل دو مرحله‌ای باعث افزایش entropy رمزگذاری شده و عملاً بازیابی داده‌ها به‌صورت جزئی یا مهندسی معکوس را بسیار دشوارتر می‌کند.