هشدار افتا درباره بازگشت باجافزار BlackByte با تکنیکهای جدید اخاذی
به گزارش شبکه خبری ICTPRESS به نقل از مرکز مدیریت راهبردی افتا، گردانندگان باجافزار BlackByte از اوایل تابستان 1400 شروع به نفوذ و سرقت دادهها در شبکههای سازمانها در سراسر جهان و رمزگذاری دستگاهها کرده اند.
بر اساس این گزارش، FBI باجافزار یادشده را مسئول حملات به زیرساختهای حیاتی آمریکا میداند و در بهمن 1400 توصیهنامهای نیز در خصوص آن منتشر کرد.
باجافزار BlackByte به زبان C# نوشته شده و سعی میکند بسیاری از پروسههای مربوط به محصولات امنیتی، سرور ایمیل و پایگاهدادهها را بهمنظور رمزگذاری موفق سیستمها، از کار بیندازد. برای مثال این باجافزار قبل از رمزگذاری فایلها،Microsoft Defender را در سیستمهای قربانیان غیرفعال میکند.
مهاجمان با سوءاستفاده از آسیبپذیریهای امنیتی به شبکهها نفوذ کرده و زنجیره حمله ProxyShell به سرورهای Microsoft Exchange را نیز در کارنامه دارند.
محققان، در پاییز سال گذشته، به این نکته پی بردند که گروه باجافزاری BlackByte، کلید رمزگذاری را پس از کد کردن (Encoding) به اطلاعیه باجگیری (Ransom Note) اضافه کرده و از کلید مشابه برای چندین قربانی استفاده میکنند. در پی شناسایی ضعف یادشده در این باجافزار، محققان رمزگشای BlackByte را که به قربانیان این باجافزار اجازه میداد فایلهای خود را بهصورت رایگان بازیابی کنند، منتشر کردند. البته متأسفانه پس از انتشار گزارش این ضعف، مهاجمان نقص مذکور را برطرف کردند.
پس از مدتی کوتاه، این مهاجمان فعالیت خود را متوقف کردند. اکنون مدتی است که حملات خود را با تکنیکهای جدید اخاذی که از LockBit الهام گرفته شده، اجرا کرده و ضمن انتشار یک سایت نشت داده جدید در تالارهای گفتگو هکرها و حسابهای توییتر تحت کنترل مهاجمان، این باجافزار را تبلیغ میکنند.
سایت جدید نشت داده در حال حاضر فقط شامل یک قربانی است، اما اکنون استراتژیهای اخاذی جدیدی دارد که به قربانیان اجازه میدهد تا برای تمدید مهلت پرداخت باج و عدم انتشار دادهها تا 24 ساعت، 5 هزار دلار، عدم بهاشتراکگذاری دادهها، 200 هزار دلار، یا حذف تمامی دادههای سرقت شده، 300 هزار دلار هزینه پرداخت کنند. این قیمتها احتمالاً بسته به میزان درآمد هر قربانی تغییر خواهند کرد.
با این حال، سایت جدید نشت داده باجافزار BlackByte، نشانیهای بیتکوین و مونرو را که «مشتریان» میتوانند برای خرید یا حذف دادهها از آنها استفاده کنند، بهدرستی جاسازی نمیکند و این موجب عدم اجرای صحیح قابلیتهای جدید میشود.
به نظر میرسد که هدف از تکنیکهای جدید اخاذی این است که به قربانی اجازه داده شود تا برای حذف دادههای خود پول پرداخت کند و یا در صورت تمایل، سایر مهاجمان دادههای سرقتشده را خریداری کنند.
LockBit 3.0 نیز چنین تکنیکهای اخاذی را معرفی کرده است که بیشتر بهعنوان یک ترفند به نظر میرسد تا تکنیک اخاذی قابلاجرا.
نظرات : 0