با کاهش تبوتابها در خصوص باجافزار WannaCry که تمامی اخبار IT چند هفتهی اخیر را به خود اختصاص داده بود، باجافزار قدرتمند جدیدی با نام XData به سرعت در کشور اوکراین در حال انتشار میباشد و تا بدین لحظه 3 برابر WannaCry در این کشور خسارت بر جای گذاشته است. به نظر میرسد این باجافزار تنها اوکراین را مورد حمله قرار داده است که این مسئله تا حدی از میزان نگرانیها میکاهد اما انتشار آن در سراسر جهان میتواند از خسارات WannaCry نیز پیشی بگیرد. در کمتر از یک روز پس از شناسایی XData که با همکاری محققان امنیتی و گروهی از تحلیلگران تیم MalwareHunter صورت گرفت، 94 آلودگی منحصربهفرد به این باجافزار شناسایی گردید که شمار آن همچنان رو به افزایش میباشد. در مقابل، بر اساس اطلاعات به دست آمده از تیم MalwareHunter از مجموع حدودا 200.000 آلودگی WannaCry در سراسر جهان، کمتر از 30 مورد آن به اوکراین تعلق داشته است. انتشار باجافزار XData با سرعتی تا این حد بالاتر از WannaCry حتی در یک محیط محدود، نشان از معضلات بزرگتر در صورت انتشار جهانی آن دارد.
Matthias Merkel، محقق امنیتی آلمانی معتقد است که با سرعت انتشار بالایی که این باجافزار در اوکراین داشته است، انتشار سریع آن در خارج از اوکراین نیز دور از انتظار نخواهد بود.
برخلاف WannaCry که دارای چارچوبی محدود بوده است، XData از پیچیدگی بالایی برخوردار میباشد که تلاش کارشناسان برای تجزیهوتحلیل این باجافزار و شناسایی نحوهی عمل و انتشار آن را با ناکامی مواجه ساخته است. محققان تایید نمودهاند که برخلاف WannaCry در Windows XP و Windows 7 که در برخی مواقع بازیابی دادهها را امکانپذیر میسازد، XDataفایلهای مورد نظر خود را به طور کامل رمزگذاری میکند و راهی برای جبران آن و رمزگشایی فایلها بدون پرداخت هزینه وجود ندارد. پیام باجخواهی XData نیز در پنجره ای بر روی صفحه نمایش قربانی ظاهر نمیشود بلکه به شیوهای سادهتر و به صورت یک فایل Text نمایش داده میشود.
به گفتهی Merkel این باجافزار مرتبا تمامی فرآیندهای جاری در تجهیزات آلوده را متوقف میکند اما بر فرآیندهای مربوط به خود تاثیری ندارد؛ با این حال به نظر میرسد که XData پس از آلوده کردن یک سیستم، قابلیت اتصال خود به اینترنت را از دست میدهد. صحت این نظر به معنای آن است که XData بر خلاف WannaCry قادر به بُروز خصوصیات Worm مانند نبوده و برای به وجود آوردن آلودگیهای جدید از مکانیسم متفاوتی استفاده میکند. معمولا اسپمها، تبلیغات اینترنتی مخرب (Malvertising) یا نرمافزارهای آلودهای که کاربران ناآگاهانه دانلود میکنند موجب آلودگی تجهیزات میشوند اما حجم بالای آلودگی در اوکراین از وجود عامل دیگری نیز حکایت دارد.
نکتهی عجیب در رابطه با XData آن است که این باجافزار مبلغ مشخصی را برای بازگرداندن فایلهای رمز شده اعلام نکرده است. به اعتقاد تیم امنیتی MalwareHunter، مهاجمان برای باجخواهی روش قربانی به قربانی را با توجه به نوع کاربران (شخصی و یا کسبوکار) درنظر گرفتهاند. (یعنی مبلغ باجخواهی برای هر سیستم نسبت به اهمیت آن متفاوت میباشد)
خوشبختانه تمرکز XData بر اوکراین تا حدودی قدرت عمل این باجافزار را محدود نموده است. با این حال محققان امنیتی به دلیل آنکه مکانیسم حملات XData تا حد زیادی ناشناخته مانده است، پیشبینی تاثیر این باجافزار در بیرون از مرزهای اوکراین را زودهنگام دانسته و نگاهی محتاطانه به آن دارند. محققان Symantec اخیرا از دو نمونهی مرتبط با XData خبر دادهاند و سطح فعالیت فعلی آن در اوکراین و روسیه را بالا ارزیابی کردند. با این وجود، محققان هنوز در این مورد که آیا XData برای آلوده کردن تجهیزات از Exploit نمودن آسیبپذیری نرمافزاری خاصی استفاده میکند یا خیر، به قطعیت نرسیدهاند.
