کمیته رکن چهارم – باجافزار BlackCat در حال بهرهبرداری از سرورهای آسیبپذیر Exchange است.
گردانندگان باجافزار BlackCat با سوءاستفاده از آسیبپذیریهای اصلاح نشده، سرورهای Microsoft Exchange را هدف قرار میدهند.
کارشناسان امنیتی مایکروسافت حداقل در یکی از حملات اخیر مشاهده کردند که مهاجمان بانفوذ تدریجی در شبکه قربانی، اطلاعات اصالتسنجی و دادههای سیستمها را برای اخاذی مضاعف، استخراج و جمعآوری میکنند. دوهفته پس از سوءاستفاده از یک سرور Exchange ترمیم نشده بهعنوان نقطه ورودی و نفوذ اولیه، مهاجمان کدهای مخرب باجافزار BlackCat را از طریق PsExec در سراسر شبکه توزیع کردند.
تیم تحقیقاتی مایکروسافت اعلام کرده است درحالیکه روشهای ورودی رایج باجافزار BlackCat، برنامههای Remote Desktop و اطلاعات اصالتسنجی سرقت شده، هستند، در حملات اخیر مشاهده شده که مهاجمان از آسیبپذیریهای سرور Exchange برای دستیابی و نفوذ به شبکه موردنظر خود استفاده میکنند.
اگرچه مایکروسافت در گزارش خود به شناسه آسیبپذیری Exchange که جهت دسترسی اولیه مورد سوءاستفاده قرار گرفته، اشارهای نکرده است، اما این شرکت در اسفند ۱۴۰۰ اقدامات مهارسازی و توصیهنامهای امنیتی در خصوص حملات ProxyLogon که در آن نیز از ضعفهای امنیتی Exchange سوءاستفاده شده، منتشر نموده بود. همچنین با وجود اینکه مایکروسافت در این تحقیق از گروهی که باجافزار BlackCat را توزیع کرده، نامی نبرده است، این شرکت میگوید چندین گروه مهاجم سایبری اکنون در حملات خود از این باجافزار به صورت یک سرویس اجارهای (Ransomware-as-a-Service – به اختصار RaaS) استفاده میکنند.
یکی از این گروههای مهاجم سایبری با انگیزههای مالی، FIN۱۲ است که قبلاً نیز سابقه توزیع باجافزارهای Ryuk، Conti و Hive را در حملاتی که عمدتاً سازمانهای حوزه سلامت را هدف قرار میدادند، دارد. بااینحال، همانطور که شرکت امنیتی Mandiant در گزارش خود اعلام کرده است، گردانندگان FIN۱۲ بسیار سریعتر عمل میکنند، زیرا گاهی اوقات با صرف نظر نمودن از مرحله سرقت داده، در کمتر از دو روز برنامههای مخرب رمزگذاری خود را در شبکه مورد نظر قرار میدهند.
گمان میرود تغییر رویه گروه FIN۱۲ و رویآوردن به باجافزار BlackCat بهجای باجافزار Hive، به دلیل افشای عمومی روشهای رمزگذاری باجافزار Hive باشد. باجافزار BlackCat همچنین توسط گروهی بهعنوان DEV-۰۵۰۴ به کار گرفته شده است. این گروه معمولاً دادههای سرقت شده را از طریق Stealbit – ابزار مخربی که گروه LockBit بهعنوان بخشی از سرویس RaaS خود در اختیار تبهکاران سایبری قرار میدهند – استخراج میکند.
همچنین از آذر ۱۴۰۰، DEV-۰۵۰۴ از سایر باجافزارها نظیر BlackMatter، Conti، LockBit ۲.۰، Revil و Ryuk استفاده کرده است.
بهمنظور پیشگیری از حملات باجافزار BlackCat، مایکروسافت به مدیران فناوری اطلاعات سازمانها توصیه میکند که ضمن بررسی ساختار هویتی خود، هرگونه دسترسی از بیرون به شبکههای خود را رصد نموده و همه سرورهای آسیبپذیر Exchange سازمان را دراسرعوقت بهروزرسانی کنند.
FBI در آن زمان اعلام کرد که بسیاری از برنامهنویسان باجافزار BlackCat/ALPHV و افرادی که باجهای دریافتی آن را پولشویی میکنند، با گردانندگان باجافزار Darkside/Blackmatter در ارتباط هستند که این امر نشاندهنده ارتباط گسترده مهاجمان BlackCat و تجربه و تبحر آنها در حملات باجافزاری است. بااینحال، بهاحتمال زیاد، تعداد واقعی قربانیان BlackCat بسیار بیشتر از ۴۸۰ موردی است که بین آبان ۱۴۰۰ و خرداد ۱۴۰۱ به سایت ID-Ransomware ارسال شده است.
منبع : مرکز مدیریت راهبردی افتا
