همه چیز درباره باج‌افزار LockBit

کمیته رکن چهارم – گردانندگان باج‌افزار LockBit هم‌اکنون در تلاش هستند تا با حذف افراد واسطه، افراد نفوذی را در سازمان‌ها استخدام کنند تا از طریق شبکه خصوصی مجازی و پودمان Remote Desktop Protocol به شبکه‌های این سازمان‌ها دسترسی پیدا کنند.

گروه‌های باج‌افزاری به‌طور مداوم در حال تغییر نام، مشخصات و روش‌های خود هستند تا با نهادهای قانونی مقابله کنند که همواره به دنبال مسدودسازی حملات باج‌افزاری هستند. به نظر می‌رسد که مجریان قانون، مدیران امنیتی سازمان‌ها و فعالان حوزه امنیت سایبری که بر روی شناسایی و توقف حملات مخرب و پرهزینه باج‌افزاری متمرکز شده‌اند، حداقل تا حدودی موفق بوده‌اند.

حملات اخیر باج‌افزارهایی همچون LockBit 2.0 و BlackCat نشان می‌دهد که فاصله زیادی تا حل این معضل باقی‌مانده است. بنابر گزارش‌های منتشر شده، امروزه اجرای حملات باج‌افزاری گران‌تر و پرمخاطره‌تر از گذشته است و گروه‌های باج‌افزاری با اجرای حملات کمتر، مبالغ بیشتری باج، مطالبه و دریافت می‌کنند. میانگین باج پرداختی در پاییز امسال با ۱۳۰ درصد افزایش به بیش از ۳۲ هزار دلار رسیده است. به همین ترتیب، مبلغ میانی باج پرداختی نیز با جهش ۶۳ درصدی، تا حدود ۱۱۷ هزار دلار افزایش پیدا کرده است.

نتایج تحلیل محققان امنیتی نشان می‌دهد که افزایش میزان باج درخواستی در پاییز امسال ناشی از تغییر در سیاست‌های نامحسوس خدمات موسوم به «باج‌افزار به‌عنوان سرویس» (Ransomware-as-a-Service – به‌اختصار RaaS) است که منجر به افزایش هزینه‌ها برای گردانندگان باج‌افزاری شده است.

به‌این‌ترتیب، مهاجمان با تغییر سیاست‌های خود، بصورت عمد از سازمان‌های نسبتا” بزرگ اخاذی می‌کنند تا بتوانند مبلغ باج هنگفتی را مطالبه کنند و درعین‌حال مهاجمان به دنبال سازمان‌های به‌اندازه کافی کوچک هستند تا از عهده هزینه‌های اجرایی حمله برآیند و درعین‌حال زیاد هم مورد توجه رسانه‌ها و نهادهای قانونی قرار نگیرند. این بدان معناست که گروه‌های باج‌افزاری شروع به تمرکز بر کسب‌وکارها و سازمان‌های کوچک تا متوسط کرده‌اند تا همانند آنچه که در حمله به شرکت آمریکایی «خط لوله کولونیال» در سال گذشته رخ داد، توجه نهادهای قانونی و رسانه‌ها را جلب نکنند. حملات سایبری در سازمان‌هایی که بین یک هزار تا ده‌هزار کارمند دارند، از ۸ درصد در تابستان به ۱۴ درصد در پاییز امسال افزایش‌یافته است.

میانگین باج پرداختی در این دسته از سازمان‌ها بالاتر از یک میلیون دلار بوده و این یکی از عوامل افزایش متوسط کل باج پرداختی در پاییز امسال بوده است. محققان انتظار دارند این روند، به‌احتمال زیاد برای ارائه‌دهندگان خدمات RaaS در باج‌افزارهایی همچون Conti، LockBit 2.0 و Hive ادامه خواهد داشت.

باج‌افزار LockBit از سپتامبر ۲۰۱۹ در قالب سرویس موسوم به RaaS فعال بوده و برای نفوذ و رمزگذاری شبکه‌ها در انجمن‌های هک روسی زبان تبلیغ می‌شده و در اختیار سایر تبهکاران سایبری قرار داده شده است. به دلیل ممنوعیت تبلیغات باج‌افزار در انجمن‌های سایبری، دو سال بعد، در ژوئن ۲۰۲۱، نسخه جدید LockBit 2.0 RaaS ، در سایت این گروه باج‌افزاری عرضه شد سایتی که از آن برای افشای اطلاعات سرقت شده استفاده می‌کردند. پس از راه‌اندازی مجدد، گردانندگان این باج‌افزار، سایت زیرزمینی Tor خود را دوباره طراحی و باج‌افزار را بازسازی کردند و ویژگی‌های پیشرفته‌تری مانند رمزگذاری خودکار دستگاه‌ها در دامنه‌های Windows را از طریق Active Directory به باج‌افزار اضافه کردند.

گردانندگان این باج‌افزار هم‌اکنون در تلاش هستند تا با حذف افراد واسطه، افراد نفوذی را در سازمان‌ها استخدام کنند تا از طریق شبکه خصوصی مجازی (Virtual Private Network- به‌اختصار VPN) و پودمان Remote Desktop Protocol – به‌اختصار RDP، به شبکه‌های این سازمان‌ها دسترسی پیدا کنند. همچنین مشخص شده است که گردانندگان LockBit یک رمزنگار مبتنی بر linux را برای رمزگذاری سرورهای VMware ESXi طراحی کرده و به مجموعه ابزارهای خود افزوده‌اند. اخیراً نیز محققان اعلام کرده‌اند که LockBit 2.0، به بستر مبادله ارز دیجیتال paybito نفوذ کرده است. آنها همچنین هشداری از LockBit 2.0 منتشر کرده‌اند مبنی بر اینکه چنانچه باج مطالبه شده را تا ۲۱ فوریه پرداخت نکنند، این گروه اطلاعات شخصی بیش از ۱۰۰ هزار کاربر این بستر را منتشر خواهند کرد.

در این راستا، پلیس فدرال آمریکا (FBI) در گزارشی اقدام به انتشار فهرست نشانی‌های آلودگی (Indicators of Compromise – به اختصار IoC) باج‌افزار LockBit و جزئیات فنی عملکرد آن کرده است.

از جمله در این گزارش فاش شده است که این بدافزار دارای یک قابلیت مخفی برای ردگیری عملیات خود است. در طول فرایند آلودگی، این قابلیت را می‌توان با استفاده از کلیدهای SHIFT + F1 فعال کرد. با فعال‌شدن این قابلیت، اطلاعات لحظه‌ای درباره عملیات رمزگذاری قابل‌مشاهده بوده و می‌توان وضعیت تخریب داده‌های کاربر را ردیابی کرد.

مراجع امنیتی برای پیشگیری و در امان ماندن از حملات باج‌افزار LockBit، اقدامات زیر را به راهبران امنیتی سازمان‌ها توصیه می‌کند:
– برای همه حساب‌های دارای رمز ورود (مانند حساب سرویس، حساب‌های Admin و حساب‌های دامنه Admin) از رمزهای پیچیده و منحصربه‌فرد استفاده شود.

– تا حد امکان برای همه سرویس‌ها از احراز هویت چندعاملی (Multi-Factor Authentication – به‌اختصار MFA) استفاده شود.

– تمام سیستم‌های عامل و نرم‌افزارها به‌روزرسانی شوند.

– دسترسی‌های غیرضروری به Admin Shares حذف شود.

– فایروال‌های نقاط پایانی (Host-based Firewall) به کار گرفته شود تا دستیابی به Admin Shares فقط از طریق پودمان SMB (Server Message Block) و از تعداد محدودی از ماشین‌های دارای سطح دسترسی Admin انجام شود.

– گزینه Controlled Folder Access در سیستم‌عامل Windows فعال شود تا از اعمال تغییرات غیرمجاز در فایل‌های حیاتی و حساس جلوگیری شود.

علاوه بر این، راهبران امنیتی همچنین می‌توانند با انجام اقدامات زیر، شناسایی و کشف شبکه سازمانی توسط مهاجمان باج‌افزاری را دشوارتر کنند:
– برای جلوگیری از انتشار باج‌افزار در شبکه از “تقسیم‌بندی شبکه” (Network Segmentation) استفاده شود.

– فعالیت‌های غیرعادی و نفوذ احتمالی باج‌افزار توسط ابزارهای رصد و نظارت بر شبکه، شناسایی و بررسی شوند.

– دسترسی زمانی (Time-based Access) برای حساب‌های در سطح Admin و بالاتر، تنظیم و پیاده‌سازی شود.

– مجوزهای خط فرمان (Command-line) و امکان انجام عملیات اسکریپت (Scripting) غیرفعال شوند.

– تهیه نسخه پشتیبان آفلاین از داده‌ها و همچنین پشتیبان‌گیری و بازیابی داده‌ها در فواصل زمانی منظم انجام شود.

– اطمینان حاصل شود که تمام داده‌هایی که از آنها نسخه پشتیبان تهیه شده، رمزگذاری شده و غیرقابل ‌تغییر هستند و داده‌های زیرساخت کل سازمان را شامل می‌شود.

مراجع امنیتی به سازمان‌های قربانی باج‌افزارها توصیه می‌کنند که از پرداخت باج مطالبه شده اجتناب کنند زیرا هیچ تضمینی به بازیابی و برگرداندن فایل‌های رمزگذاری شده پس از پرداخت باج وجود ندارد. حتی ممکن است پس از پرداخت باج، همچنان اطلاعات حساس و حیاتی آنها در آینده به‌صورت عمومی توسط مهاجمان افشا شود. علاوه بر این، پرداخت باج به مهاجمان، آنان را به ادامه حملات خود و مورد هدف قراردادن قربانیان بیشتری در آینده تشویق می‌کند.

همچنین سایر گروه‌های خلاف‌کار سایبری را تشویق می‌کند تا در انجام فعالیت‌های غیرقانونی به آنها بپیوندند.

شرکت ترلیکس (Trellix, LLC.) در آخرین گزارش فصلی “تهدیدات سایبری” خود اعلام کرده است که به احتمال زیاد در سال ۲۰۲۲، بخش‌های مالی هدف حملات باج‌افزاری قرار خواهند گرفت. طبق این گزارش، از ابتدای تابستان تا انتهای پاییز امسال، حملات به بخش‌های مالی و بیمه ۲۱ درصد افزایش یافته است ولی حملات به مراکز مراقبت‌های بهداشتی تنها ۷ درصد افزایش داشته است. بنابر اظهارات محقق ارشد ترلیکس در سه ماه پاییز امسال، گروه‌های باج‌افزاری پرمخاطب برای مدتی ناپدید و متوقف شدند و سپس دوباره به فعالیت خود ادامه دادند و حتی تلاش کردند نام تجاری خود را تغییر دهند. در این حال آنها به‌عنوان تهدیدی بالقوه و مخرب علیه طیف فزاینده‌ای از سازمان‌ها و بخش‌های مرتبط و رایج باقی ماندند.

منبع: مرکز مدیریت راهبردی افتا